Antivir rescue system : CDLIVE

[Laddy]

Avira Antivir rescue system est une solution basée sur linux qui vous permettera de :

- réparer un systeme endommagé
- Sauvegarder des données
- Scanner votre ordinateur à la recherche d'infections.

Il suffit de telecharger un petit executable qui lancera un léger logiciel de gravure afin de graver son contenu sur un CDR.
Il vous suffira ensuite de booter sur le CDRom pour effectuer votre dépannage et désinfection.

[Malekal_morte]

c'est Avira et pas Anvira

Ca semble interressant! vais jeter un coup d'oeil!

[Laddy]

Je n'ai pas testé car pas de pc infecté autour de moi
Je suis triste MDR

[Malekal_morte]

Petit test rapidos... pour voir l'interêt de désinfecter depuis un CD Rescue.
Et pour que vous voyez comment ça se présente.


J'ai bourré la VM d'infection... il y a des backdoor.IRC, plein de trojans



et bien sûr des rootkits... détectés par gmer





Le menu de bienvenue du CD


Le menu général.


Le scan :







Le résultat... un log est créé, je n'ai pas regardé s'il le créé sur la partition Windows.


J'ai mis en cadre rouge, les rootkits détectés par le CD Rescue.

Le rapport HijackThis après nettoyage : https://www.malekal.com/fichiers/Antivi ... kThis2.txt
Il n'est pas très parlant car aucune clef du registre n'a pas été supprimée donc tous les éléments infectieux restent.
Il faut en fait vérifier si les fichiers ont été renomés par Antivir et s'ils sont encore chargés (donc infection active).

Le rapport de scan Antivir : https://www.malekal.com/fichiers/Antivi ... virlog.txt
194 fichiers renommés.

------ scan results ------
directories: 1135
scanned files: 35062
skipped files: 1
alerts: 194
suspicious: 5
repaired: 0
deleted: 0
renamed: 194
quarantined: 0
warnings: 7
scan time: 00:12:26
--------------------------

Casi plus rien qui est en cours d'exécution Process Explorer :

Gmer ne rapport plus aucun rootkit :




Conclusion

Le CD rescue reste un moyen efficace de nettoyer son PC puisque l'on boot sur un OS tiers non infecté.

Les bon côtés d'un CD Live
C'est l'interêt principal du CD Rescue. En bootant sur un OS tiers, tous les fichiers sur la partition sont visibles.
La suppression devient extremment simple pour l'antivirus, puisque pour supprimer un malware, il suffit de supprimer le fichier en question, aucun élément malicieux étant actif sur l'OS tiers, rien ne peut empécher la suppression des malwares (bon après pour certains peut y avoir des prb de droits NTFS, mais on va pas chipoter).

Encore faut-il que l'antivirus en question détecte le malware mais ça c'est une autre histoire.


Il reste en fait quelques éléments néfastes... mais Antivir a fait un véritable massacre.


Les mauvais côtés d'un CD Live
Un autre côté d'un CD rescue est que l'OS tiers n'a pas accès au registre du Windows infecté, il ne peut donc pas supprimer les clefs des malwares.
Selon la clef, cela peut se retourner contre vous et empécher le redémarrage convenable de Windows (reboot en boucle, blocage au chargement de la session etc..).

Si des fichiers systèmes ont été patchés (winlogon.exe, tcpip.sys), le CD rescue risque de les détecter et supprimer (ou renommer), ceci peut endommager Windows et l'empécher de redémarrer convenablement.

Il convient donc de sauvegarder ses données avant l'utilisation d'un CD rescue de désinfection.

Je pense que je ferai un tuto sur la bête bientôt puisque Antivir + GNU/Linux, bref tout ce que j'aime

[Laddy]

Merci Malekal pour cette rapide analyse.
J'ai hâte de lire la suite.

[Malekal_morte]

J'ai édite en mettant qq liens de rapport et autres captures.

[Malekal_morte]

Voila le tuto : https://www.malekal.com/tutorial_Antivi ... System.php

[constantine]

Bonsoir,
Si j'ai bien suivi, il ne faut pas l'utiliser sur bagle??

Si des fichiers systèmes ont été patchés (winlogon.exe, tcpip.sys), le CD rescue risque de les détecter et supprimer (ou renommer), ceci peut endommager Windows et l'empécher de redémarrer convenablement.

Merci.

[Malekal_morte]

Si Bagle, c'est bon, je pense.

[dexterpunk]

Pas mal ce système, c'est plus rapide que de booter sur un ubcd4win et plus facile à maintenir à jour...

Je voulais demander si c'était aussi puissant qu'en le lançant d'ubcd4win vis à vis des rootkits je pensais surtout, au vu des messages ci dessus, il semblerait que oui.

Une question tout de même, existe t'il une commande simple du genre "keyb fr" sous msdos pour passer le clavier en disposition fr quand on est en mode console pour sauvegarder le rapport ? parce que c'est un peu galère de trouver les caractères qu'il faut

Et je suppose que vous avez vu, si on fait annuler pour le .exe de base, il propose de sauvegarder l'iso et du coup on peut mettre les vdf direct dedans, et maintenir un pti cdrw toujours à jour.

Merci pour tout

[tesgaz]

Pas mal ce système, c'est plus rapide que de booter sur un ubcd4win et plus facile à maintenir à jour...

Je voulais demander si c'était aussi puissant qu'en le lançant d'ubcd4win vis à vis des rootkits je pensais surtout, au vu des messages ci dessus, il semblerait que oui.
Merci pour tout

Salut,

je pense que les 2 cds sont complémentaires
UBCDWin permet d'importer la ruche, de supprimer les fichiers temporaires, de remettre les bons programmes au cas ou Antivir aurait nettoyé trop sec !
et d'avoir de nombreux outils à disposition

[dexterpunk]

Et pour le clavier en FR, une idée ?

[Laddy]

Merci Malekal Morte pour ce tutoriel et ce complément d'information.

[michte]

Salut,

J'ai un problème avec la MAJ du programme, je n'arrive pas à trouver l'endroit où sont "stockés" les fichiers vdf, je les ai mis dans un dossier nommé rescueupdate à la racine de C:\ (comme sur le tuto). Quand je suis sur le CD (en respectant le tuto à la lettre) j'arrive bien à sélectionner "mnt" (puis barre d'espace) mais je ne trouve pas mon disque dur, si j'ai bien compris le chemin doit être: /mnt/hda1/rescueupdate (mon DD est un ultra ATA) mais je bloque au niveau "mnt" je n'arrive pas à trouver la suite, donc la MAJ est annulée, je cherche depuis ce matin et là j'avoue être dans une impasse, à quoi peut bien me servir un antivirus qui n'est pas à jour? Si vous avez une explication à me donner, elle sera la bienvenue, parce que à mon niveau..

A+

[Malekal_morte]

tu as essayé tous les dossiers de mnt ?
il y a pas sda1 ?