Emsisoft Emergency Kit

[Malekal_morte]

Emsisoft Emergency Kit est kit qui permet de supprimer des infections.

Ce kit offre les outils suivants :
* un scanner (c'est celui de Emsisoft Anti-Malware) qui permet la suppression de malware détecté, il se met à jour tout seul.
* HijackFree qui permet de voir certains éléments sensibles du système (pour trouver les malwares).
* BlitzBlank qui permet de supprimer des éléments (fichiers, dossier etc) récalcitrant... On peux faire un script.


Le gros avantage c'est que t'as besoin de rien installer.

Ci joint quelques captures et le rapport du scanner :

Version - Emsisoft Anti-Malware 1.0
Dernière mise à jour : 11/12/2010 11:59:47

Paramètres du balayage :

Type de balayage : Scan en Détail
Objets : Mémoire, Traces, Cookies, C:\
Balayage des archives : Marche
Analyse heuristique : Arrêt
Balayage des ADS : Marche

Début du balayage : 11/12/2010 12:00:09

c:\windows\System32\lowsec Objets détectés : Trace.Directory.dataminer!A2
c:\windows\system32\sdra64.exe Objets détectés : Trace.File.allmetalnews!A2
c:\windows\Prefetch\AT.EXE-2770DD18.pf Objets détectés : Trace.File.files732435.net!A2
C:\Documents and Settings\Mak\Cookies\mak@bluestreak[1].txt Objets détectés : Trace.TrackingCookie.bluestreak!A2
C:\Documents and Settings\Mak\Cookies\mak@doubleclick[1].txt Objets détectés : Trace.TrackingCookie.doubleclick!A2
C:\Documents and Settings\Mak\Cookies\mak@smartadserver[1].txt Objets détectés : Trace.TrackingCookie.smartadserver!A2
C:\Documents and Settings\Mak\Cookies\mak@weborama[1].txt Objets détectés : Trace.TrackingCookie.weborama!A2
C:\Documents and Settings\Mak\Application Data\Mozilla\Firefox\Profiles\7ksvp90m.default\cookies.sqlite:1267453668924001 Objets détectés : Trace.TrackingCookie.doubleclick.net!A2
C:\Documents and Settings\Mak\Application Data\hotfix.exe Objets détectés : Gen.Variant.FakeAV!IK
C:\Documents and Settings\Mak\Bureau\adobeflashplayerv10.0.32.20.exe Objets détectés : Gen.Variant.Kazy!IK
C:\Documents and Settings\Mak\file.exe Objets détectés : Gen.Variant.Kazy!IK
C:\Documents and Settings\Mak\Local Settings\Temp\buvho.exe Objets détectés : Trojan.TDss!IK
C:\Documents and Settings\Mak\Local Settings\Temp\TMP5.tmp Objets détectés : Trojan.Win32.Agent!A2
C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\n002106203302r000cXdd1fc55eY96efc745Z0100f0600[1] Objets détectés : Trojan.Win32.Tdss!IK
C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\z_m_ain_2[1].htm Objets détectés : Trojan-Downloader.JS.Shadraem!IK
C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\ZTG6NGWI\kuknkualkw[1].exe Objets détectés : Gen.Variant.Kazy!IK
C:\RECYCLER\S-1-5-21-823518204-725345543-786100373-1003\Dc15.exe Objets détectés : Trojan.Win32.FakeAV!IK
C:\WINDOWS\Temp\_ex-08.exe Objets détectés : Email-Worm.Win32.Iksmas!IK
C:\WINDOWS\Temp\_ex-68.exe Objets détectés : Worm.Koobface!IK

Analysé

Fichiers : 24817
Traces : 398455
Cookies : 133
Processus : 27

Objets trouvés

Fichiers : 12
Traces : 3
Cookies : 5
Processus : 0
Clés de Registre : 0

Fin du balayage : 11/12/2010 12:23:06
Temps de balayage : 0:22:57

C:\WINDOWS\Temp\_ex-68.exe Objets Supprimés Worm.Koobface!IK
C:\WINDOWS\Temp\_ex-08.exe Objets Supprimés Email-Worm.Win32.Iksmas!IK
C:\RECYCLER\S-1-5-21-823518204-725345543-786100373-1003\Dc15.exe Objets Supprimés Trojan.Win32.FakeAV!IK
C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\z_m_ain_2[1].htm Objets Supprimés Trojan-Downloader.JS.Shadraem!IK
C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\NA1C2SGS\n002106203302r000cXdd1fc55eY96efc745Z0100f0600[1] Objets Supprimés Trojan.Win32.Tdss!IK
C:\Documents and Settings\Mak\Local Settings\Temp\TMP5.tmp Objets Supprimés Trojan.Win32.Agent!A2
C:\Documents and Settings\Mak\Local Settings\Temp\buvho.exe Objets Supprimés Trojan.TDss!IK
C:\Documents and Settings\Mak\Bureau\adobeflashplayerv10.0.32.20.exe Objets Supprimés Gen.Variant.Kazy!IK
C:\Documents and Settings\Mak\file.exe Objets Supprimés Gen.Variant.Kazy!IK
C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\ZTG6NGWI\kuknkualkw[1].exe Objets Supprimés Gen.Variant.Kazy!IK
C:\Documents and Settings\Mak\Application Data\hotfix.exe Objets Supprimés Gen.Variant.FakeAV!IK

Objets Supprimés

Fichiers : 11
Traces : 0
Cookies : 0

[angelique]

Interressant http://download11.emsisoft.com/EmsisoftEmergencyKit.zip << 108MB

[angelique]

heu!! on peut remonter des files suspects zippés "infected" http://www.emsisoft.com/en/support/submit/ , mais on remonte où les FP ?

edit !
----

ok vu

To submit suspected False Positives please use the following methods:

1) From the detection list
- highlight the item;
- right-click;
- choose “Submit as false alert” from the pop-up menu

Rescan after subsequent updates

2) From Quarantine
- highlight the item;
- use <<Submit file>> button

Quarantined items are rescanned automatically by the Software after subsequent updates if
“Quarantine Re-scan” option is set to “Silent” or “Manual”
If the item was confirmed being False Positive it will be restored from the quarantine by the program
You can use <<Re-scan>> button as-well

3) Submitting via e-mail as an attachment
- send the suspect(s) to [email protected]
- Before submitting, create a password protected archive (ZIP or RAR) containing the file(s). Please password protect the archive with word: “fp” (no quotes)
Read Archiving Files With Password Before The Submission

4) if other security flagged the file that was not recognized by Emsisoft Anti-Malware you can Submit new Malware as described in the article

[Parisien_entraide]

Interressant http://download11.emsisoft.com/EmsisoftEmergencyKit.zip << 108MB

L'outil a grossi depuis car il fait plus de 300 Mo
Par defaut la date se met sur l'année 1970 et est lié à une news Emisoft

emisoft interface.png

https://www.emsisoft.com/fr/home/emergencykit/download/

Autre lien en appli portable

https://portableapps.com/apps/security/ ... t-portable

A noter que toute copie est configurée pour rejoindre automatiquement le "réseau anti-programmes malveillants", ce qui inclut "le traitement en ligne des statistiques sur les programmes malveillants détectés et le comportement des programmes".

Néanmoins on peut désactiver cette option dans les paramètres sous "Confidentialité".

Voir la policy concernant la collecte : https://www.emsisoft.com/en/company/pri ... nd-Receive

Pour rappel il suffit juste d'un package qui va se décompacter dans le dossier par défaut : C:\EEK
On peut copier le tout ensuite sur une clé USB par ex

La version portable elle propose le choix d'un dossier d'installation (à créer avant par ex)

Il n'y a pas d'interférence avec un Antivirus installé (c'est juste un scanner)

Avant l'execution il faut donner des droits administrateur au fichier EmsisoftEmergencyKitPortable.exe
Une mise à jour de la base de données est ensuite demandée (accepter)

On peut aller dans les paramètres et on peut se voir proposer une analyse supplémentaire pour les Pup's et aller également dans les détails :
Si on a plusieurs unités de disques, on peut en supprimer.
On peut également demander à scanner un dossier particulier ou ajouter une autre unité de disque

2019-07-26_191311.png

Pendant l'analyse il nous est demandé via un lien dans l'interface, pour patienter, de lire quelques news (à noter le "pardon our french" ;-)

"Pardon our French, but we’re glad to announce that our malware team has just released a decryptor for the ZeroFucks ransomware."

2019-07-26_191737.png

Sur un PC assez chargé en programmes etc, avec un scan d uniquement 2 SSD (un de 1 To rempli à 60% et l'autre de 2 To mais avec une analyse uniquement d'une partition de 650 go remplie à 50% de programmes annexes ) , l'analyse a pris presque 1h, et bizarrement a fortement ralentie autour de 50% (analyse du premier SSD qui est un Samsung de 1To en version pro)

En lançant ISLC j'ai noté qu'il ne me restait plus que 0 mo de libre sur 16Go (en fait à ce niveau il reste réellement 4 Go de libre et utilisé par windows et programmes lancés)
En purgeant la stand By list manuellement, j'ai constaté que le kit me consommait environ 20 à 30 mo chaque seconde !


Je n'avais pas de '"merdouilles" ni envie de récupérer quelques infections récentes, donc j'ai inséré 2 fichiers .exe, qui peuvent paraître suspicieux du fait du packer utilisé, et de l'action de ces programmes (modification de la base de registre)
Cela date de 2014 mais c'est volontaire, car certains éditeurs virent de leur base ce qu'ils considèrent comme "anciens"

Il a bien trouvé les 2 fichiers (non détectés par Kaspersky, MBAM et autres)

En sus, il a détecté 2 autres faux positifs : Ac3filter et Marmiton

Le reste est classique , certains programmes des packages Nirsoft et Sysinternals détectés comme malveillants comme me le fait régulièrement MBAM

Le soucis c'est que l'utilisateur ne sait jamais quoi faire avec ce qui est présenté comme des infections, si il ne sait pas que ce sont des faux positifs

A la fin du scan Emissoft Emergency Kit affiche une invite lorsqu'il trouve des fichiers suspects suggérant d'installer l'un de ses produits centraux, qui étend les fonctionnalités du kit d'urgence sur le périphérique.
L'invite ne mentionne pas le fait qu'accepter l'installation met en place un produit d'évaluation, Emisoft Anti-Malware Home, disponible uniquement pour une version d'évaluation de 30 jours. il doit être désinstallé ou acheté après cette période.

Protection decue.png

L'écran de résultat

Fin analyse.png

On peut également vérifier les journaux et cliquer sur "détails ou sur un rapport qui sera généré en mode texte

Logs.png

26/07/2019 20:01:25
Outil d'analyse détecté PUP "Application.Hacktool.XP (B)" dans "D:\Windows_Repair_Toolbox\Downloads\NirLauncher\NirSoft\bulletspassview.exe" (SHA1: 08edc669c2a5408cdbc3968fc4ac0a2f23ed69ba)

26/07/2019 20:01:29
Outil d'analyse détecté PUP "Application.Agent.Nirsoft.B (B)" dans "D:\Windows_Repair_Toolbox\Downloads\NirLauncher\NirSoft\dialupass.exe" (SHA1: a382cdffc52802c75a013eb277824a030d0332f9)


Après reste l'efficacité globale de la chose sur les vraies infections, par rapport à ce que proposent les autres éditeurs (en général un disque .iso à graver) comme Avira, Kaspersky, mais surtout de l'efficacité du nettoyage et ce sans rendre le PC instable par la suite

[Malekal_morte]

Vu les noms des détections, ils doivent utiliser le moteur de BitDefender.
Donc ils ne doivent pas pouvoir faire grand chose de ce côté là.

[Parisien_entraide]

M'ouais.. Un moteur, une interface et hop (je cherche la plus value pour Emisoft) . Ce n'est pas nouveau car nombre de produits utilisent soit le moteur bitdefender, soit leur moteur et leur cloud
Même spybot utilise le moteur de Bitdefender :-) Mais le moteur ne fait pas tout, la preuve :-)

Ils auraient pu y ajouter une liste blanche, d'autant plus que sur leur forum il y a une section réservée aux faux positifs qui semble assez conséquente

En fait ils utilisent le moteur de Bitdefender depuis 2012
Avant ils utilisaient Ikarus (qui n'était pas mal à une époque)

[Malekal_morte]

oui, il y aussi IOBit Malware Fighter, G-data.
C'est pour les boites de sécu qui peuvent pas se payer de labos, analyses, etc.
Ils peuvent se focaliser sur le dev, on le voit sur Spybot

BitDefender a dû casser la tirelire pour que tout le monde choisisse sont moteur.