Bienvenue sur le forum des portables Asus !
Une communauté d'utilisateurs, des conseils d'experts, des guides et des tutos pour réparer vous même votre portable.

Arrivé en limite du "Do It Yourself" ? Nous prenons en charge votre portable dans nos ateliers.

Je rejoins la communauté Asus
Rkill

SECURITE Rkill 2019-02-20

Aucune autorisation de téléchargement
Rkill est un programme par bleepingcomputer, un site américain spécialisé en sécurité informatique, dont le programme est probablement créé par Lawrence Abrams, fondateur du site bleepingcomputer.

Je conseille aux non-connaisseurs et aux confirmés de visiter ce site, pour une veille concernant les menaces informatiques, mais aussi aux désinfections, si vous savez vous exprimer en anglais.

Rkill est un programme permettant de mettre fin à certains éléments concernant des infections connues, il détecte donc:
  • Les processus malveillants connus.
  • Corrige des associations de fichers dû à des programmes malveillants.
  • Il prend le temps de vérifier si il existe des élements infectieux dans la base de registre.
  • Vérifie les signatures digitales des fichiers Windows.
  • Effectue des analyses supplémentaires (non détaillé)

Rkil n'est pas un anti-virus, il permet de faciliter la désinfection de personnes infectées par un Helpeur (une personne qui désinfecte un ordinateur par rapport à un script de diagnostic).



Utilisation:
  • Télécharger Rkill à cette adresse, dans votre bureau.
  • Choisir un des éléments ci-dessous, par rapport au lieu ci-dessus:

    rkill-png.9919


  • Choisir l'encadré où il est indiqué: iExplore.exe, afin d'éviter qu'une infection connue tue le processus qui lance Rkill (reconnaissance par rapport au nom).
  • Pour des infections qui tuent le processus RKill, vous pouvez utiliser Rkill, mais avec une liste de noms dont l'infection ne tuera pas probablement(reconnaissance par rapport au nom).
    Toutefois, il existe des infections qui prennent d'autres points de contrôle pour détecter si le programme est un programme de désinfection ou pas.
    rkill2-png.9920

  • Pour lancer RKill, faire un clic-droit sur l'icône représentant le nom du programme, puis sélectionner "Exécuter en tant qu'administrateur".
  • Laisser le programme tourner. Ne faîtes rien pendant l'analyse.

    rkill3-png.9921


  • Une fois que le programme a fini son analyse, la fenêtre ci-dessous apparaîtra.

    rkill4-png.9922


  • Un rapport en format .txt va s'afficher, poster le rapport si besoin.
Si vous faîtes une désinfection autonome, cet outil pourra vous aider.

Mais je tenais à inclure ce programme dans les ressources de forum-des-portables-asus, via l'infection regin dont j'ai été infectée (celle de Belgacom), et qui m'était spécialement ciblée pour voler des CV, mais pas que, dont la description s'avère être la découverte de GrayFish, mais à la fois à une étape de Regin en version 32 bits.

Rkill a été un effet de bord, puisque des services étaient détectés, mais quand l'analyse concernant la signature digitale a débuté, le processus Rkill a été tué.
Comme Rkill détecte des menaces connues, alors j'avais émis l'hypothèse que Regin\GrayFish\EquationGroup utilisent ou utilisaient des malwares de cybercriminels.

En effet, en ayant fait une capture réseau, une partie des trames réseaux montre un botnet GameOverZeus.
Puis la chance était encore une fois de mon côté, derrière les trames réseaux, on y trouve le malware générique correspondant, qui est un trojan de type trojan.banker
J'avais constaté que mes machines virtuelles étaient infectées et sûrement lié à la menace à ZeusVM ou à ses rejetons.
Un conditionnement médiatique ou un réalisme naïf aurait trompé un administrateur réseau, et aurait eu une accusation facile en pointant du doigt des menaces russes ou brésiliennes.

Enfin, pour détecter Regin, les outils (quand l'un des malwares est lancé) sont:
  • AswMBR: se crashe dès le début de l'analyse. Cela correspondrait à un patch d'un des fichiers du dossier SYSTEM32 ou SYSTEM32\DRIVERS.
  • Gmer: A l'époque, Gmer ne fonctionnait qu'en mode utilisateur, et pas au mode kernel. Mais on peut toujours détecter quelque chose avec les IAT et les inline Hook.
  • AISMI-cacher: (android) Je constate un SMS silencieux (Type-0), la langue utilisée trahit l'utilisateur. Accumulé à d'autres observations, les apparences peuvent-être trompeuses.
  • Comodo: Un détecteur d'intrusion basé sur l'hôte et le réseau fait des merveilles.
Auteur
alexandre01
Téléchargements
1
Première sortie
Dernière mise à jour
Evaluation
0.00 étoile(s) 0 évaluations

Autres ressources de alexandre01

  • DevID Agent
    DevID Agent
    DevID est un logiciel qui permet de mettre à jour des pilotes.
  • Rem-VBSworm
    SECURITE Rem-VBSworm
    utilitaire pour désinfecter les clés USB et médias amovibles.
  • AdwCleaner
    SECURITE AdwCleaner
    outil pour supprimer adware, Hijacker, toolbar et logiciels potentiellement indésirables
  • Captvty
    SYSTEME Captvty
    logiciel permettant d'accéder à la TV en direct ou en rattrapage
  • Cameleon
    SECURITE Cameleon
    extension firefox permettant de modifier l'empreinte du navigateur Firefox
  • FlagFox
    GUIDE FlagFox
    extension firefox qui permet d'obtenir des infomations sur un site particulier
  • Winja
    SECURITE Winja
    utilitaire pour scanner des fichiers sur virustotal, véritable couteau suisse
  • SEAF
    SECURITE SEAF
    outil permettant de chercher des fichiers et de clé de registre
  • Reset Windows Update Agent
    SYSTEME Reset Windows Update Agent
    Utilitaire pour réintiliser les agents de Windows update, et plus encore
  • HashTab
    SYSTEME HashTab
    utilitaire permettant de vérifier que le fichier téléchargé est bien conforme au hash fourni

Partager cette ressource