[TEST] CD Live Malekal

[Malekal_morte]

Avec les ransomwares et autres blocage de l'ordinateur, je suis en train de regarder pour faire un CD Live malekal.
On utilise pas mal OTLPE mais parfois le mettre sur une clef USB pose soucis ou parfois le net/USB ne fonctionne pas dessus.
Pour le moment, y a pas d'outils de diagnostics mais on peux faire fonctionner RogueKiller (voir plus bas).
Je regarderai pour Malwarebyte Portable mais le lien sur le site officiel ne marche pas.

Le CD Live est basé sur du Seven avec l'explorateur de Windows, Opera et Internet Explorer (je crois pas qu'on ait le droit de le redistribuer mais bon comme c'est pour aider, je doute qu'on vienne me chercher des noises).
C'est en Français aussi.
Bref c'est plus conviviable qu'OTLPE.

Surtout, je pense qu'il doit y avoir plus de drivers que sur OTLPE.
J'ai testé sur un portable et le net en filaire fonctionne, ça ne semble pas être le cas en WIFI.

Le CD Live est en x86 - si y a des personnes qui sont en amd64, ce serait bien de voir si cela fonctionne ou s'il faut faire une version am64 (j'imagine que oui).

Et éventuellement des retours pour le WIFI.

L'ISO est là (~ 320 Mo) : https://www.malekal.com/download/Win7PE_x86.ISO
Vous pouvez le mettre sur clef USB avec ISO2Disc : http://www.top-password.com/download/ISO2DiscSetup.exe
Cela a très bien fonctionné en ce qui me concerne.

Si c'est positif, je ferai un gros tuto.

Quelques captures (le fond d'écran est temporaire) :

Malekal_CD_Grub.png

Malekal_CD.png

Malekal_CD_NET.png

J'ai testé RogueKiller avec Reveton et il l'a bien viré :

Malekal_CD_RogueKiller.png

[Parisien_entraide]

Pour la version portable de MBAM, il n'y a effectivement plus d'accès sur le site, et la raison que je suppose est que cela pose problème (MBAM a été profoncdement remanié courant décembre) pour ceux qui l'ont déja installé sur le PC
Le lien n'exsite plus, mais on peut trouver des projets sains (et pas celle de AppsPortable qui était virusée) comme :

http://infomars.fr/forum/index.php?showtopic=3637

Lien téléchargement : https://www.box.com/shared/5u6ml4esfy

Compatible avec Windows XP et Seven (x32/x64)


L'achitecture du fichier .zip

Malwarebytes' Anti-Malware (dossier)

les fichiers et dossiers se trouvant dans C:\Program Files (x86)\Malwarebytes' Anti-Malware\ (exemple de répertoire d'installation de MBAM, ici sous Seven x64)
_Portable Folder_ (dossier)
Drivers (dossier)
le ou les fichiers .sys installé(s) par MBAM dans C:\WINDOWS\system32\drivers
​All Users (dossier)
Application Data (dossier)
le dossier C:\ProgramData\Malwarebytes et son contenu (fichiers, sous-dossiers, etc).

[*]_Portable_ (dossier)

un fichier version.txt contenant uniquement le numéro de version actuelle (à 4 nombres, exemple : 1.61.0.1400)

[/list]______________
_____________________________________________________
L'auteur dit concernant le conflit avec la version installée : "le principe-même de la version portable qui est en cause : au lancement elle crée son petit nid (clés de registre, répertoires utilisateur, drivers). Et à la fermeture, après avoir enregistré les changements, elle remballe tout (ce qui était éparpillé sur le PC est déplacé dans le répertoire portable).D'où le fait que la version installée n'y retrouve plus ses marques, une grosse partie de ses fichiers lui a été "volée".
et
"si tu utilises la version portable et qu'en parallèle MBAM est installé sur le PC, il restera les fichiers de cette version installée (logique, puisqu'elle est installée). Ici, mbamscheduler.exe appartient à la version installée, pas à la version portable. La version portable ne laisse pas de trace."


Sinon j'ai vu que tu avais mis un outil Nirsoft "Ser viwin", peut etre est ce volontaire de le mettre seul, mais il y a la possibilité d'avoir une appli portable regroupant les outils Nirsoft et Sysinternals sous une meme interface (ce qui n'empeche pas de lancer l'outil que l'on souhaite via l'interface du CD)

http://forum.malekal.com/outils-sysinte ... 42090.html


Nota : Très joli graphiquement le "bureau" du CD

[Malekal_morte]

OK merci.

Pour Ser viwin, je sais plus si c'est volontaire.
Après ça n'a pas grand interêt d'avoir ce programme je pense.

[doc pc]

'soir,

début de test vite fait
2 Pc portables testé:
pas de Wifi !
en méme temps le Wifi par Live Cd

sur le premier (proc intel)
carte ethernet reconnue (pas branché mais ça doit marcher)

sur le numéro deux (amd)
aucune carte reconnue

ça ne fait pas vraiment avancer le truc,
mais bon

@+

[Malekal_morte]

Voila le Wifi marche, faut faire qq petites manips pour que les pilotes se chargent et ensuite l'activer.
Je suis en train de recompiler en ajoutant Malwarebytes pour voir.

Mettrai une ISO à jour ce soir.
Avec les pilotes elle a pris 200 Mo :'(

CD_LIVE.png

CD_LIVE2.png

CD_LIVE3.png

CD_LIVE4.png

CD_LIVE5.png

[Malekal_morte]

Voila ISO à jour : https://www.malekal.com/download/Win7PE_x86.ISO (~585 Mo)
MD5 : 10446331606a0066ff0609ddf7a34e37

• ajout de pilotes avec DriverPack (voir installation plus haut).
• ajout d'OTL qui permet un scan comme sur OTLPE
• ajout de RogueKiller
• ajout de Malwarebytes

CD_Live_Malekal.png

Pour faire fonctionner Malwarebytes, il faut qu'internet fonctionne (pour pouvoir télécharger les defs virales).
Se reporter au message précédent.
Faut lancer l'installation des pilotes puis lancer PENetwork et activer le service Wifi.
A partir de là, les réseaux Wifi doivent être visibles et on peux s'y connecter.

Ensuite Lancer Malwarebytes depuis le menu Démarrer sans le RunScanner.

CD_Live_Malekal_Malwarebytes.png

Il doit vous dire que les defs virales et vous proposent de les mettre jour.

CD_Live_Malekal_Malwarebytes2.png

CD_Live_Malekal_Malwarebytes3.png

Puis Malwarebytes se lance.
Il faut le fermer et lancer celui qui est dans le menu Démarrer avec le Scan.
Normalement celui-ci charge les Ruches du systèmes hôte (ce qui permet de nettoyer le registre).

Faut lancer un scan que du disque où Windows est installé.

CD_Live_Malekal_Malwarebytes4.png

CD_Live_Malekal_Malwarebytes5.png

CD_Live_Malekal_Malwarebytes6.png

@doc pc : si tu as le temps de tester sur le PC où y avait aucune carte reconnue, voir ce que le LAN et WLAN donne, ce serait cool !
Il faut bien lancer l'installation des pilotes du "DriverPacks" (voir plus haut).

[Malekal_morte]

Première désinfection \o/
=> http://forum.malekal.com/virus-minister ... ml#p333123

[@stéroH]

je testerai ton livecd pendant les vacs.

Faut que je me trouve une clé wifi pour infecter ma tour de tests, prête pour cela

[doc pc]

salut,

apres install du DriverPacks tout va bien
ethernet OK
Wifi OK apres étre passé par PENetwork

voili voilou!

@+

[Malekal_morte]

Merci pour le test

Par contre, y a des prb avec OTL apparemment.
Mais RogueKiller fonctionne, donc ça devrait permettre de supprimer les ransoms.

=> https://www.malekal.com/2013/02/22/malekal-live-cd/

[angelique]

Test OK , DHCP direct pas besoin de drivers pack, connexion ok.

sympa dans systemTools ? firewall enable ?? ça fait quoi ?

Par contre pas pu tester OTLPE sur la machine vu que y'a GNU_Linux sur le sda1 ... otlpe le voit pas

[hundred2]

Bonjour,

Un gros merci à l'Auteur pour ce Live ...

Cependant, pas moyen de faire fonctionner Malwarebytes, après téléchargement de la base virale, il demande à télécharger une nouvelle version du logiciel et son installation se plante ...

Cependant Live suffisant pour traiter un virus Interpole bien implanté sur PC avec XP Home Sp2 (sans Anti Virus et Pare Feu opérationnel, hum ...) PC non accessible, aussi en mode sans échecs et avec invite de commandes ...

Passage de RogueKiller, puis sorti du DD et scanné avec Malwarebytes sur une autre bécane.

DD remis en place, PC accessible, installation de Roguekiller, Malwarebytes, AdwCleaner, scan et delete de tout ce qui a été trouvés. Installe Mbam Pro, Antivirus + Pare Feu ... OK

Meilleures salutations

[Malekal_morte]

ha oui y a Malwarebytes 2.0 donc je suis pas sûr que la version 1 va continuer à bien fonctionner.

Normalement RogueKiller fait l'affaire - ex http://www.commentcamarche.net/forum/af ... #p29933249

[hundred2]

ha oui y a Malwarebytes 2.0 donc je suis pas sûr que la version 1 va continuer à bien fonctionner.

Bonjour,

Re Test : J'ai désinstallé complètement la version de Malwarebytes sur le Live (Revo Uninstaller).

... et ré installé la dernière version 1 ... Si elle s'installe correctement (hum), impossible de charger la base virale et impossible de faire le moindre scan sans cette base virale !

Essais également avec la nouvelle version 2 ... exactement le même problème ...
Essais en installant sur partition X: ou Y: (ou ailleurs) ... rien à faire pour que cela fonctionne ... (?)


Bon, essais avec le Kit Emergency Emsisoft http://www.emsisoft.com/fr/software/eek/

Installation sur Y: Nickel, chargement nickel de la base virale, et full scan de mes DD impeccable (détection de HD Tune du Live comme malveillant)

Meilleures salutations

[Malekal_morte]

Merci pour les infos.

Faudrait que je mette un peu à jour les CD Live.
Mais ça ne sera pas possible de suite, plutôt le mois prochain, je pense.

J'essayerai d'inclure Emsisoft Emergency Kit.