VIVEZ LE
FOOTBALL !

Supprimer les rootkits




Qu'est-ce que c'est un "rootkit" ?


Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). Certains Rootkits installent des backdoors (voir l'article sur les chevaux de Troie). Contrairement aux virus ou bien aux vers, les rootkits ne sont pas capables de se dupliquer.
Pour installer un rootkit, il est nécessaire d'avoir les droits administrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.

Voici les principales actions des rootkits :
  • Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
  • Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.


Remarque :
La majorité des internautes utilisent des comptes administrateurs au lieu d'utiliser un compte limité et ceci facilite fortement l'installation de rootkits sur la machine !

Plus d'informations sur les rootkits

Méthodes de désinfection


Il se peut qu'une des méthodes, citées ci-dessous, échoue. Dans ce cas, postez un message sur le Forum Virus/Sécurité, et une personne vous guidera pour la suite.

Préliminaire


Désactiver le résident de Spybot
  • Important : si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il va gêner la désinfection en empêchant la modification des BHO et la réparation du registre.
    • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé
    • A gauche, cliquez sur Outils, puis sur Résident
    • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :



Note importante :
Une fois la désinfection terminée ( et pas avant ), réactivez le " TeaTimer " .
/! Mais attention : à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenues lors de la désinfection ) -> il faudra alors les accepter toutes sans exception !

Puis par la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si l'on en connait la provenance .

Première Méthode en utilisant Gmer


Gmer est un détecteur de rootkits puissant.

Utilisation :
  • Rendez-vous sur cette page , et cliquez sur "Download EXE" pour télécharger Gmer sous un nom aléatoire (Pour tromper le Rootkit).
  • Lancez Gmer
  • Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
  • Des lignes rouges doivent apparaître en cas d'infection :
    • Sur ces lignes rouges:
      • Services: Clic-droit puis delete service
      • Process: Clic-droit puis kill process
      • Adl, file: Clic-droit puis delete files


Comment savoir s'il s'agit d'un rootkit ?

Quand Gmer trouve un rootkit ou un fichier caché (hidden) cette ligne devient rouge.

A la fin des lignes vous devriez voir (en cas d'infections) les extensions suivantes :
  • .dat
  • .exe
  • _nav.dat
  • _navps.dat
  • .sys


Exemple d'infection :

C:Users\crilaud\AppData\Local\igeysiy.dat
C:Users\crilaud\AppData\Local\igeysiy.exe
C:Users\crilaud\AppData\Local\igeysiy_nav.dat
C:Users\crilaud\AppData\Local\igeysiy_navps.dat

ou beaucoup sont des fichiers ".sys" dans \System32\Drivers

Deuxième méthode en utilisant MalwareBytes' Anti-Malware :



MalwareBytes'Anti-Malware (MBAM) est un excellent logiciel pour détecter et supprimer les Malwares de tous genres (dont certains rootkits) en utilisant des méthodes d'analyses très sophistiquées.
Gratuit et en français, MalwareBytes'Anti-Malware est un programme utilisé sur de nombreux forums de désinfection et aussi à titre personnel par le grand public.
Pour avoir plus d'informations sur MalwareBytes'Anti-Malware veuillez-vous référer à cette astuce.

Troisième méthode en utilisant la console de récupération

  • Grâce à la console de récupération vous pouvez réparer Windows (en cas de perte de fichiers vitaux, par exemple) mais elle permet aussi de neutraliser les rootkits, il suffit de supprimer son driver.
  • Utilisation : Regardez ce tutoriel .

Quatrième méthode : Super antispyware

  • Téléchargez SUPERAntiSpyware (SAS) puis installez le et mettez le à jour.
    • Pour scanner son ordinateur avec SUPERAntiSpyware, cliquez sur le bouton : Scan your Computer.
    • Dans la nouvelle fenêtre, vous pouvez choisir dans la partie gauche les éléments à scanner (Disques, répertoires etc..).
    • Dans la partie de droite, le type de scan. Vous pouvez utiliser le Perform Quick Scan.


Cinquième méthode: Combofix

  • Il est conseillé de demander un avis avant d'effectuer Combofix qui est un outil très puissant.
  • Télécharge ComboFix (de sUBs) sur ton Bureau.
  • /!Désactive temporairement toute protection résidente /! (Antivirus , Antispywares..)
  • Double clique sur ComboFix.exe.(Sous Vista , il faut cliquer droit sur Combofix.exe et choisir Exécuter en tant qu'administrateur).
  • Accepte la licence en cliquant sur Oui.
  • Le programme va vous demander si vous souhaitez installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne.Je vous conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Postez ce rapport dans votre prochaine réponse.
  • Le rapport ce trouve ici : %SystemDrive%ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C: en général)
  • Aide :Comment utiliser ComboFix.

Rootkit remover de Mcafee


téléchargez le logiciel ici
lancez le et suivez la procédure

Vérification


Il est conseillé de faire un scan en ligne pour vérifier qu'il ne reste pas des applications infectées.
  • Allez sur le site du scan en ligne Kaspersky (Avec Internet Explorer).
  • En bas à droite, cliquez sur Démarrer Online-scanner.
  • Dans la nouvelle fenêtre qui s'affiche, cliquez sur J'accepte.
  • Acceptez les Contrôles ActiveX.
  • Choisissez Poste de travail pour le scan.
  • Celui-ci terminé, sauvegardez (Choisissez fichier texte) le rapport sur votre Bureau.


Utilisation du scan en ligne : Aide

Note : Si vous recevez le message La licence de Kaspersky On-line Scanner est périmée, allez dans Ajout/Suppression de programmes puis désinstallez On-Line Scanner, reconnectez-vous sur le site de Kaspersky pour retenter le scan en ligne.

si le scan en ligne de kaspersky est indisponible utilisez panda en ligne:
http://www.pandasecurity.com/france/homeusers/solutions/activescan/

Désactivation/Réactivation de la restauration système


Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

A Voir également les antirootkits de certains concepteurs

Publié par VIRUS_KILLER - Dernière mise à jour le 16 février 2012 à 23:20 par moudubulbe
Ce document intitulé « Supprimer les rootkits » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Suggestions
  •  Supprimer les rootkits
  •  [rootkit] : comment le supprimer (Résolu) » Bonjour à vous tous, depuis quelques jours je reçois des messages de drive cleaner comme quoi mes données sont ménacées.On me demande de l'installer(ce que je n'ai pas fait!!) J'ai instéllé Sophos Anti-rootkit et après analyse j'ai trouvé des rootkits...
  •  Supprimer compte facebook » Fiches pratiques : Rendez-vous sur ce lien . Un message vous informe de ceci : Si vous ne pensez pas que vous utiliserez à nouveau votre compte Facebook, nous pouvons nous en occuper pour vous. Gardez en tête que vous ne pourrez pas réactiver votre compte...
  •  Comment supprimer un ami sur facebook (Résolu) » Meilleure réponse: Tu vas tout simplement dans le profil de celui ou celle que tu veux supprimer, puis en bas à gauche il y a ''supprimer ami''
  •  Supprimer babylon search » Fiches pratiques : Babylon search fait partie des PUPs/LPIs (logiciels potentiellement indésirables). Babylon est barre d'outils pour Internet Explorer qui modifie la page de démarrage et de recherche et comme toute barre d'outils fait du tracking afin d'envoyer la...
  •  Supprimer compte facebook (Résolu) » Meilleure réponse: Pour supprimer le compte facebook, vous pouvez aussi cliquer sur le lien suivant (j'ai jamais essayé...) http://www.facebook.com/help/contact.php?show_form=delete_account A votre service Bonne soirée Vic
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?
Supprimer une infection 023NT
Comment supprimer Virut ?