Bienvenue sur le forum des portables Asus !
Une communauté d'utilisateurs, des conseils d'experts, des guides et des tutos pour réparer vous même votre portable.

Arrivé en limite du "Do It Yourself" ? Nous prenons en charge votre portable dans nos ateliers.

Je rejoins la communauté Asus

GUIDE Regin.backdoor ou le syndrome de "je n'ai rien à cacher"

alexandre01

Staff
Modérateur
Modèle
asus s550cm\asus x750 UDR
Vendeur
darty\amazon
Achat
fin 2013\fin 2017
Proc
i7 3ème génération\I7 8ème génération
HD
1To disque7200 trs\ 1To disque dur 5400 trs+ssd 250 Go
RAM
16 go DDR3\16 Go DDR4
Ecran
1366*768\1920*1080
OS
Manjaro
#1
Je vais vous parler d'une A.T.P (Advanced Threat Persistent) que j'ai découvert le 21-22 Mars 2015, qui s'appelle Regin.

La spécificité de ce malware, qui est une backdoor (porte dérobée) est qu'il se cache dans le registre, comme son nom l'indique, bien qu'il écrit au moins un fichier dans le disque dur .

Ce malware est quasiment le même que celui décrit par the intercept, qui a infecté belgacomm, exepté que la description est faite pour la version 32 bits, et j'ai eu la version 64 bits.

Enfin, un descriptif plus synthétique sur le site de Wikipedia

J'utilisais un windows 8 .1 industry pro embedded, (précédemment aussi un windows 8 industry pro embedded) en version 64 bits acquis par l'université, fourni "gracieusement") par le programme Dreamspark de microsoft.

Le PC est un ordinateur portable asus, certifié "Windows 8". De cela en découle que j'ai un UEFI, avec l'option Secure Boot, avec une de partition GpT au lieu de table de partition MBR.

J'utilise une session utilisateur, et non pas une session administrateur. Les programmes, les navigateurs, les plug-ins de navigateurs (j'utilisais firefox) sont toujours mis à jour par mes soins, et je vérifie que tout est à jour sur mon ordinateur, en utilisant FileHippo et Secunia

Les prémisses
1) L'histoire a commencé quand j'ai une alerte du H.I.P.S de comodo, lorsque l'ordinateur se mettait en hors tension.

Le fichier en question est : LockScreenContentServer.exe, qui essaie d'accéder à l'interface COM de SearchIndexer.exe, lors de la mise en hors tension de l'écran.

Comodo indiquait, si je me rappelle bien que le programme n'était pas signé.

Bien que ce fichier semble provenir de Microsoft, et semble légitime, ce programme n'est pas agrée par un certificat root:

Voir le lien ci-dessous:

2223-1440891532-48812a25f357be51988a935b464cc569.jpg

Le fichier a été uploadé sur virustotal.

Le lien est: Antivirus scan for b1d1ef4575144302956492e57b2c1ce755f38615d2e285b6288f9d1586d53d4a at 2018-03-26 20:44:55 UTC - VirusTotal

Je n'aime pas cela, mais je me suis dit que je pouvais exagérer, comme je l'avais indiqué dans ce post.

Pourtant mon PC était synchronisé avec un serveur de temps, le PC était donc à l'heure , avec la bonne date.

2) Un soir, pendant que l'écran de l'ordinateur était en veille, j'ai eu des alertes incessantes du HIPS de comodo, de façon continue, ce n'était pas un comportement normal, je me suis dit que je pouvais exagérer.

Les fichiers concernés étaient ces deux là.

2224-1440891654-70816d2c6c01f6a484b2c1f5f896ea2e.png

Cela provenait de Serviio, un programme pour diffuser des vidéos, images de son ordinateur vers sa télévision.
Bien que je sais que je sais que serviio utilise Java, je me suis méfié, sachant que Java comporte pas mal de failles de sécurité. (et j'ai su plus tard que le partage de fichier est une grosse faille de sécurité, en utilisant l'architecture NetBios).

3) Peu de temps après, filehippo me signale une mise à jour de virtualBox. Je mets à jour virtualbox, mais pour faire la mise à jour des addons, je suis obligé de me connecter au mode administrateur.

Or en me connectant en mode administrateur, l'ordinateur a commencé à ralentir énormément( ou en ouvrant Firefox dans le compte administrateur, je ne m'en rappelle plus) , j'ai été obligé déteindre l'ordinateur et en cherchant à éteindre l'ordinateur, j'ai eu une fenêtre me signalant q'un problème avec un programme 16 bits (un programme 16 bits ralentit l'ordinateur, où un message similaire), ce que j'ai trouvé bizarre, puisque utilisant un OS 64 bits, les programmes 16 bits ne sont pas théoriquement opérationnels . Mais comme c'est un windows 8.1 pro, il me semble qu'il y a un mode de compatibilité pour des versions de windows antérieures)

En redémarrant, et en me connectant en mode administrateur, et en regardant les programmes lancés, j'ai vu instance de svchost, sans nom, rien du tout. Or en regardant en détail le processus, il était en mode "suspend", . J'ai quand même lancé RogueKiller, et a tué ce processus, considéré comme malveillant. Mais pas d'autres anomalies particulières.

Le commencement

1) En redémarrant, via le gestionnaire de tâches de Windows, j'avais un processus svchost sans nom que j'appelle des processus "svchost fantôme". Cela semblait bizarre, puisque je n'arrivais pas à déterminer le service associé. De plus , comme il était en "suspend", je me suis méfié, mais sans plus.

Toutefois, j'observais l'évolution de ce processus au cours du temps, en laissant l'écran allumé, des fois il y avait deux ou trois autres processus fantômes. Je pouvais les tuer via le gestionnaire de tâches, mais j'ai constaté que ces processus "svchost fantôme" étaient en activité, ouvrant des ports réseaux.

En utilisant RogueKiller, ce dernier tuait les processus, mais sans plus, sans détecter d'autres anomalies notoires. J'ai utilisé aussi TDSSKIller, avec analyse des processus au démarrage, mais il n'a rien détecté.

Mais quelques jours plus tard, la situation s'est dégradée:

2) En démarrant l'ordinateur, j'avais un problème de connexion (je ne pouvais pas me connecter), et le parefeu ne se lançait pas. Je devais à chaque fois lancer comodo , me signalant un souci, et fais un diagnostic (voir l'image ci-dessous) . Le diagnostic ne trouve rien d'anormal, et puis la connexion démarre, comme le montre la photo ci-dessus:

Vraiment intrigué, je cherchais à faire lancer les logiciels de désinfections et de diagnostic le plus vite possible au démarrage de l'ordinateur pour essayer de trouver quelque chose concernant ces processus "svchost fantôme" (sans oublier les autres processus en dessous qui me semblait bizarre)

Bizarrement, l'icône de nvidia apparaissait pas, ce qui n'est normal.

2225-1440891656-edd8a5f113e5a1c121605518e98d7003.png

Il y avait deux cas:
  • Soit les programmes se chargeait en mémoire, mais ne démarraient pas.
  • Soit j'avais droit à un BSOD ( Critical_Stucture_corruption) , quand les programmes voulus se lancaient et \ou quand les processus "svchost fantôme " étaient tués.
Une hypothèse est de dire que le driver lié à ce\ces processus "svchost fantôme"

3) Je me suis donc lancé à faire une analyse complète de l'ordinateur avec l'antimalware Avast, avant le démarrage de Windows.

Avast me détecte une infection Regin.

2226-1440891657-2161bb3bb61e8f28a77ce55a37614efd.png

L'analyse via virustotal est ici

4) J'ai supprimé le dossier Backup.

Puis, en laissant tourner ma machine pendant un temps indéterminé sans ayant contact avec ce dernier, j'ai eu droit à un nouveau dossier backup.

2227-1440891657-777d888caa2e3fa40c6877e31a61b818.png

Je vois bien des fichiers, concernant des CV. Mais rien de spécial, ce sont des CV que j'ai corrigé dans le cadre d'une formation pour apprendre le HTML5 et CSS3, donc rien à voir dans le monde professionnel.

5) Mais la nouveauté est que peu de temps après, je ne voyais plus les processus "Svchost fantômes", et le parefeu ne pose pas de problème, et se lance bien au démarrage. Toutefois, l'îcone de Nvidia dans la barre de tâches ne se lance toujours pas.

6) J'ai décompressé le fichier 4d6....2014-11-25_162521. Notons que le fichier 0001000000000C1C_svcsstat.exe_sample n'est pas réapparu dans le fichier (qui avait été détecté par Avast).

J'ai

2228-1440891753-799fabda0c24690ab7573004b5dd371d.png

Le contenu du dossier Get This et le contenu du fichier ProcMon_19_06_2013_0_00_08_57.pml sera détaillé plus tard, pour ne pas alourdir la description.

Remarques:

a) Dans Le dossier Windows, il y a un dossier "lastGood", avec des fichiers de system32, si je me rapelle bien, dans le fichier "LastGood"

Pour les fichiers que j'ai pu voir, il y a une différence avec les certificats, par exemple pour les fichiers nvapi64.dll:

2229-1440891754-eedab30cd8f1babd460c07589b608ee0.png

Pour deux même fichiers, les fichiers n'ont pas les mêmes signataires. Il y en a un dont le certificat est certainement usurpé (sûrement celui de gauche). En effet, dans c:\Windows\System32, le certificat signé soit disant par Symantec (voir le certificat racine), à droite, le certificat signé par Nvidia, dans c:\windows\LastGood

b) En utilisant un liveCD de malekal (celui de Windows 8), j'ai une erreur suivante au démarrage de ce liveCD, "La corbeille est endommagée, voulez-vous vider la corbeille? " , ou un message de ce type, car le message est en anglais. Même en vidant la corbeille, en redémarrant le LiveCD, le message d'erreur réapparaissait.

En redémarrant, J'ai utilisé ZHPFix pour supprimer les points de restauration, et d'autres fichiers, mais ca échoue:

2230-1440891756-5cdb6c636c6c7f5dfdb13038f92b4209.png

c) le malware à l'air de buguer, car il laisse des "traces" , qui sont corrigées ensuite si une connexion internet est présente.

Par exemple, en regardant l'image suivante, j'avais pensé à une connection à un serveur distant ou à un serveur local (via le disque dur de mon routeur), mais je ne sais pas.

Je rajoute que les fichiers que avast avait trouvé dans c:\users\asus\appdata\roaming\notepad++\Backup, qui sont restés longtemps dans ce dossier ont tout simplement disparu.

2231-1440891757-c2af899b5cc797cc055ba1d3df310872.png

d) J'avais un dualboot linux \Windows, je ne pouvais plus accéder au dossier Windows via linux, alors qu'auparavant je pouvais le faire, et ceci même en désactivant fastboot dans l'UEFI, et même en vérifiant les actions dans le panneau de configuration, concernant la gestion de l'alimentation.
Or c'est le comportement typique que Windows n'est pas éteint complètement, comme si il était en veille hybride pour que l'ordinateur démarre plus rapidement.

A un moment, quand j'utilisais ZHPDiag, je ne pouvais plus lancer le raccourci, alors que je pouvais l'utiliser sans problème auparavant. J'ai donc renommé le fichier original lié au raccourci.

Enfin, en faisant une analyse avec MBAM, j'ai eu un message (pendant la phase de l'analyse de rootkit), indiquant qu'il y avait quelque chose n'allait pas, mais il n'arrivait pas à le détecter, mais je ne me rappelle plus du le message exact.

Désinfection ?

1) J'ai sauvegardé mes données et j'ai désinstallé le plus de programmes possibles et j'ai supprimé des fichiers pour avoir assez de place pour sauvegarder les partitions

2) J'ai voulu sauvegarder les partitions en réduisant la partition principale avec un espace disponible minimal, bien que j'ai supprimé aussi la partition Linux

En réduisant l'espace (avec gparted ou diskmgmt, je ne sais plus) , j'ai eu une alerte de Nvidia, et l'îcone de Nvidia est réapparue dans la barre de tâche.

2232-1440891758-544cf0906ad42662a2f08a6b2d04e7c5.png

J'avais cru que c'était une fausse mise à jour de Nvidia. Je pense plutôt que Nvidia avait détecté que certains de ses fichiers étaient falsifiés. De plus, Windows update s'est lancé, et a fait des mises à jour (peu de mises à jour, deux optionnelles si je me rappelle bien, dont l'un concernant une mise à jour de skype.

3) dans la barre de tâches, un programme fort utile, appelé fsutils , a fait une analyse du disque pour réparer la partition et a récupéré une partition de 1Mo. Je n'ai pas sauvegardé cette partition, j'ai juste sauvegardé un fichier, et quand j'y pense maintenant, c'était vraiment insensé de ma part, j'aurai du tout sauvegarder.

4) J'ai encore plus réduit Windows avec un liveCD Gparted, mais j'avais un BSOD. Comme j'en avais assez avec cette infection, j'ai supprimé toutes les partitions.

5) J'ai remis le routeur aux paramètres usine, et j'ai enlevé le disque dur du routeur.

6) J'ai réinstallé Windows via les dvd de restauration d'asus.
Une fois Windows installé, j'ai voulu mettre à jour les pilotes de nvidia, une fois le programme de nvidia lancé, j'ai trois processus "svchost fantômes" qui sont apparus. Je ne sais pas si c'était toujours dû à l'infection, peut-être est ce dû aussi à l'installation des pilotes.

7) Pris de panique, j'ai supprimé les données du disque dur et du SSD en remplissant ces derniers par des 0.
J'ai remplacé le MBR du disque dur par un MBR standard de Windows et flashé le firmware du "
bios uefi". je n'ai pas réinstallé de système de fichier pour le SSD.

8) J'ai réinstallé windows dans une petite partition , et installé le reste avec une distribution Linux. Aujourd'hui, je n'utilise que Windows pour une machine virtuelle.
A l'heure d'aujourd'hui, je pense que je ne suis plus infecté, mais je n'en suis pas certain, par exemple, il existe un module appelé GrayFish qui flashe les disques dur, et impossible pour ma part de vérifier si c'est le cas.


Conclusion

1) Mais comment se malware se cachait aussi bien ?

a_1) Comme le nom du malware l'indique, ce dernier se cache dans la base de registre, c'est sûrement à cause de cela que je ne pouvais pas voir l'origine de processus "svchost fantômes", dans le registre. Ce malware stocke aussi ses outils dans un conteneurs, via son propre système de fichiers, appelé EVFS (encrypted Virtual File Sytem), et qui est visible aux yeux de Windows d'un simple fichier, ce processus pouvait se cacher dans ce système de fichier.

a_2) En étudiant gpg pour apprendre à chiffrer les mails, je me suis rendu compte que l'on peut créer un certificat pour signer des fichiers.
Or Windows veut que les pilotes\drivers soient signés (sinon il faut désactiver la signature des pilotes pour installer un driver\pilote non signé).
Je pense fortement que les assaillants ont volé des certificats pour signer et installer des drivers\pilotes signés. C'est l'hypothèque la plus probable concernant le problème des fichiers ayant un problème de certificats
Il faut maintenant trouver les pilotes\drivers frauduleux, via les logiciels de diagnostics, et autres éléments sauvegardés, si c'est possible et si c'est le cas.


Cette hypothèse est fort probable,car en me renseignant sur stuxnet, un malware pour saboter des centrifugences en Iran , des certificats ont été volé dans deux sociétés, JMicron et Realtek,bien que ces certificats ont été révoqué par Verisign.

b) J'avais pensé à une machine virtuelle chiffrée à un moment pour que le malware se cache, puisqu'il est bizarre qu'il y ait peu de trace. Néanmoins, J'ai des machines virtuelles sous virtualbox, car en capturant des trames réseaux, je voyais des adresses IP locales d'une machine virtuelle, ainsi que les adresses MAC. Je me dit maintenant que c'était peut-être dû au fait que j'ai testé les trames réseaux avec un VPN. J'ai pris d'autres trames réseaux, où je n'ai pas observé ce phénomène. Néanmoins, je voyais que les paquets d'avast étaient bloqués. De plus, la date de certains paquets était de 2014. Comme j'ai appris plus tard que Regin sous propre système de fichier (EVSF), il était bien caché.

2) Deux fois, à des moments différents, mon téléphone portable se déchargeait très rapidement. De plus, bien que le réseau était fonctionnel, mes correspondants n'arrivaient pas à me joindre. En redémarrant le téléphone, je recevais une notification des appels manqués, et les SMS qui avaient été envoyés pendant la période où mon portable se déchargeait très rapidement.

3) J'ai récemment branché le disque dur à la box, et j'avais une vidéo enregistrée stockée sur ce disque dur. Une fois la vidéo supprimée, la moitié de l'espace de ce disque dur était encore rempli, bien qu'aucune donnée ne semblait présente. En formatant le disque dur, le disque est maintenant"vide".

Je vais acheter un adaptateur USB\SATA pour voir ce que cela donne.

4) Le seul souci est que je formate mon disque dur souvent. Or en fiant à la date du dossier compressé, si elle est exacte, ce dernier serait apparu environ un mois après le formatage de ce disque dur, (le formatage s'est effectué fin octobre 2014) . Ainsi, via un réalisme naïf, je pourrai croire que ca ne soit pas lié à une période antérieure .
En effet, j'aurai pu être infecté avant le formatage, et le programme aurait bien pu être stocké dans le disque dur du routeur. Bien que je vaccine les clés USB pour éviter les infections via les médias amovibles, j'ai pu attrapé cela par une clé USB, ce n'est pas exclu.


A part cela, aujourd'hui, je me demande comment j'ai attrapé ce malware.
  • Soit le disque dur était biaisé un firmare infectieux (voir grayfish ), ce qui est une possibilité, car en effectuant un scan avec aswMBR, ce programme plantait, peu de temps que j'avais acheté l'ordinateur (3 mois après l'achat).
    A l'époque, je m'étais dit que la cause est que j'avais un UEFI avec secureboot activé, et que cela faisait planter le programme, bien qu'aujourd'hui le programme ne plante pas et soit bien fonctionnel, il faut plus d'investigations.
  • Soit par un mail piégé et personnalisé, et spécialement conçu pour que je sois infecté.C'est très probable
  • Soit par une page web infectieuse, ce qui est très probable aussi
  • Soit par une personne extérieure, qui est venu chez moi.
5) Pour terminer, je suis certain que le but de cette infection était de l'espionnage, (via la capture de CV par exemple) bien que ce soit son but premier d'origine.

En effet, c'était à la période où j'étudiais dans un master pro dans un des fleurons francais:
  • Enérgie
  • Nanotechnologies
  • Aéronotique
  • Recherche
  • ...
Or pendant la période de stage, (que je n'ai pas effectué),quelques mois plus tard, une de mes camarades de classe a envoyé un mail indiquant qu' on lui avait piraté sa boite mail (la poste), et faisait son stage dans l'un des ces domaines cité au-dessus.

6) Une de mes plus grandes erreurs est d'avoir laissé activé l'architecture les services liés aux partage de fichier. Un moment, j'avais utilisé un programme pour remettre les services Windows par défaut. Bien qu'il me semble que j'ai désactivé certains services, lors de la découverte de cette porte dérobée, il y avait des services désactivés qui ont été réactivés. Mais comme je ne suis pas sûr, je prends pour argent comptant le fait que je n'ai pas désactivé ces services.

7) Une énigme est encore présente, quand je lis l'un des fichiers: le contenu de GetThis.csv
Code:
"FullName","SampleName","SizeInBytes","MD5","SHA-1",
"c:\Windows\System32\svcsstat.exe","0001000000000C1C_svcsstat.exe_sample",12160,66AFAA303E13FAA4913EAAD50F7237EA,5164EDC1D54F10B7CB00A266A1B52C623AB005E2
"d:\Ex2k10Toolbox\Track7045\osi7045.txt","01E70000000001E6_osi7045.txt_sample",19,0B26E313ED4A7CA6904B0E9369E5B957,91B7B0B1E27BFBF7BC646946F35FA972C47C2D32
Pour conclure, le lecteur D: est mon lecteur DVD. Normalement, un lecteur DVD sans rien ne peur rien écrire. Il existerait donc une zone où l'on pourrait enregister des données. Néanmoins, il y a une piste à suivre, dont je ne parlerai pas ici , mais qui a un lien avec une fuite de données d'un ennemi d'internet selon le FSF.

Enfin, il ne faut pas prendre pour argent comptant dans l'analyse que je fais, je ne suis pas un spécialiste dans le domaine de la sécurité informatique. De plus, j'ai encore beaucoup de choses à analyser, comme les trames réseaux que j'ai capturées, et les logs de diagnostics. Du peu que je connais, il y a des choses qui ont l'air intéressants, comme des paquets qui font référence à Chuck Norris (Chuck Norris can drown a fich, Chuck Norris can divise by zero), et renseignement pris, ca rappelle à un bot IRC qui se propagait via des failles de certains routeurs)

Mais il ne faut pas publier que Regin touche aussi les particuliers, et je suis certain qu'il y a plus de personnes qui sont touchées que l'on croit, mais qui ne savent pas qu'elles sont espionnées. Ce genre d'A.T.P est concu pour la majorité sous Windows, et au fil des ans, de plus en plus d'A.T.P sont découvertes. Cela risquera de se developper encore plus dans l'avenir, surtout que c'est le début de l'ère des objets connectés.


prem_banner.jpg
 

Pièces jointes

Dernière édition par un modérateur:

alexandre01

Staff
Modérateur
Modèle
asus s550cm\asus x750 UDR
Vendeur
darty\amazon
Achat
fin 2013\fin 2017
Proc
i7 3ème génération\I7 8ème génération
HD
1To disque7200 trs\ 1To disque dur 5400 trs+ssd 250 Go
RAM
16 go DDR3\16 Go DDR4
Ecran
1366*768\1920*1080
OS
Manjaro
#2
Dernière édition:

alexandre01

Staff
Modérateur
Modèle
asus s550cm\asus x750 UDR
Vendeur
darty\amazon
Achat
fin 2013\fin 2017
Proc
i7 3ème génération\I7 8ème génération
HD
1To disque7200 trs\ 1To disque dur 5400 trs+ssd 250 Go
RAM
16 go DDR3\16 Go DDR4
Ecran
1366*768\1920*1080
OS
Manjaro
#4
Merci,

Cependant, je ne sais pas si c'est un bon article, car j'ai pu mal interpréter certains éléments, et j'en ai omis d'autres. Cela prendra du temps, de la patience, et des compétences pour analyser les rapports de diagnostics.

Par exemple, là où j'ai vraiment remarqué que j'avais un souci, c'est quand mon téléphone qui a commencé à se décharger très rapidement de façon anormale, et sans que mes correspondants puissent me joindre, bien que mon réseau gsm semblait bien fonctionner .
Cela se ram ène à ce qu'à connu l'opérateur belge Belgacomm, appelé Quantum insert, qui sert à espionner des téléphones via des attaques MITM. AU début, j'avais pensé à un IMSI-catcher, mais je ne connais quasiment rien concernant les réseaux GSM, je ne sais pas.

Néanmoins , regin, selon cet article, est capable de prendre le contrôle temporaire d' antennes-relais.

Concernant le fait que j'ai pu attraper le malware, où plutôt le dropper, qui est inconnue à ce jour pour ceux qui ont attrapé ce malware, bien que les spécialistes pensent que la technique utilisée soit le spear phishing .

Néanmoins, j'ai lu cet article qui indique que certaines agences de renseignements récoltent les cookies pour connaître les habitudes des cibles afin de les mener vers des faux sites.

L'avenir nous en dira plus, certainement.

Enfin, il y a un scanner qui permettrait de détecter les atp, qui s'appelle loki ,mais il faut faire attention aux conclusions que l'on pourrait donner.

Cordialement
 

Vos accessoires ASUS

  L'atelier ASUS : témoignages

Nous vous aidons ... aidez nous.

Soutenir les forums Asus

Pour continuer à recevoir un support de qualité et gratuit dans les forums, aidez nous a supporter le coût de notre infrastructure.
Objectif
120.00 €
Collecté
30.00 €
Cette campagne s'achève dans

Parcourir les forums en musique




L'atelier ASUS : Accueil
Règles Aides Utilisateurs
Aucun support n'est délivré via le Tchat.
Merci d'ouvrir une nouvelle discussion dans les forums.
  • N @ Nabintu:
    Bonjour,
    Citer
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    N Nabintu , bonjour ! Bienvenue sur le "Tchat" des forums Asus. Aucun support n'est délivré ici. Si vous souhaitez poser une question, merci d'ouvrir une nouvelle discussion dans les forums. Vous pouvez également découvrir les services pros de notre atelier Asus. Bonne visite et à bientôt!
  • N @ Nabintu:
    je voudrais démarrer mon portable à partir de la clé; j'ai vu le mode d'emploi en ligne avec une vidéo; je le suis scupuleusement : j'appuie sur la touche F2 puis allume l'ordinateur, mais rien ne se passe, le système démarre toujours à partir du disque dur
    Citer
  • N @ Nabintu:
    or, je voudrais réinstaller le système d'exploitation à partir de la clé; je suis sous Linux, et il n'y a pas moyen d'accéder au bios pour modifier l'ordre de démarrage
    Citer
  • Citer
  • Asus Bot Asus Bot:
    N Nabintu a ouvert une nouvelle discussion : touche F2 pour démarrer sur clé usb ne fonctionne pas dans la section BIOS : Mot de passe oublié ou inconnu.
    bonjour,

    j'aimerais pouvoir démarrer mon ordinateur à partir d'une clé USB et non pas à partir du système
    d'après ce que j'ai vu sur les modes d'emploi Asus, il suffit d'appuyer en continu sur la touche F2 puis d'allumer l'ordinateur pour que le...
  • Asus Bot Asus Bot:
    7 75anna a ouvert une nouvelle discussion : Mon asus g750js ne boot plus dans la section Asus G75 - G750 - G751 - G752 - G753.
    Bonsoir,
    Il y a 2 jours, j'ai éteint mon pc car il chauffait anormalement.
    Après l'avoir laissé refroidir je l'ai de nouveau remis en marche. Il n'a plus voulu booter. Il se fige sur la page du bios.
    J'ai fait différente manip (décrit dans le ce...
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    L'équipe de l'atelier ASUS vous souhaite une bonne journée!
  • Asus Bot Asus Bot:
    Pantheera Pantheera a ouvert une nouvelle discussion : Asus dévoile sa nouvelle souris ROG... dans la section Le comptoir.
    ASUS dévoile sa souris ROG Chakram, avec un joystick programmable
    sous le pouce !




    Amateurs de souris étranges avec de nombreuses...
  • Asus Bot Asus Bot:
    Bienvenue A alain lescure ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement),
    ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    Bienvenue N nico-39-ch ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement),
    ouvrez un ticket auprès de l'atelier ASUS.
  • N @ nico-39-ch:
    bonjour
    Citer
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    N nico-39-ch , bonjour ! Bienvenue sur le "Tchat" des forums Asus. Aucun support n'est délivré ici. Si vous souhaitez poser une question, merci d'ouvrir une nouvelle discussion dans les forums. Vous pouvez également découvrir les services pros de notre atelier Asus. Bonne visite et à bientôt!
  • Asus Bot Asus Bot:
    Bienvenue A andrenrico ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement),
    ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    Bienvenue J Jackito_jack ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement),
    ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    Bienvenue P Philippe_D ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement),
    ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    P Philippe_D a ouvert une nouvelle discussion : UX360U ne démarre plus dans la section Asus U - UX - Ultrabook - Zenbook.
    Bonjour,
    Mon ASUS UX360 vient de me lâcher.
    Il tournait à fond et chauffait. J'ai proprement demandé à Windows de s'arrêter. Assez rapidement l'écran a fini par s'éteindre mais le ventilateur a continué à tourner pendant un très long moment...
  • Asus Bot Asus Bot:
    Bienvenue 8 83Philippe ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement),
    ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    8 83Philippe a ouvert une nouvelle discussion : PRISE HDMI non reconnue dans la section Asus R.
    Bonjour,

    Je possède un ASUS R 540L et depuis déjà quelque temps, la prise HDMI n'est plus opérationnelle et le vidéoprojecteur ne trouve pas la sortie HDMI., alors que la sortIe VGA fonctionne
    Quelqu'un aurait-il une idée?

    Merci d'avance
  • Asus Bot Asus Bot:
    Bienvenue P PaulaRuiz ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement),
    ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    8 83Philippe a quitté le tchat.
  • Asus Bot Asus Bot:
    Bienvenue N Nat0rm ! :raised-hand-emoji::good:
    Aucun support n'est délivré sur le Tchat.
    Pour votre question, merci d' ouvrir une nouvelle discussion dans les forums.
    Pour une réparation de votre portable ASUS (diagnostic et devis sans engagement),
    ouvrez un ticket auprès de l'atelier ASUS.
  • Asus Bot Asus Bot:
    N Nat0rm a ouvert une nouvelle discussion : TUF 565, Bug d'écran dans la section Asus TUF.
    Bonjour,

    J'ai il y a peux de temps acquis un Asus tuf 565GE-AL355T 15.6 pouces

    (Caractéristiques :
    Écran : 1920x1080 120hz
    Stockage : SSD 128go, HDD 1 To
    Carte graphique : 1050ti
    Processeur : i5 8300h
    RAM : 8 go DDR4)

    De temps en temps l'écran...
  • <font color="red"><b>Asus Bot</b></font> Asus Bot:
    L'équipe de l'atelier ASUS vous souhaite une bonne soirée !
  • Z @ zipzap:
    Bonne soirée :)
    Citer
    Z @ zipzap: Bonne soirée :-)