Qu'est-ce que c'est un "rootkit" ?
Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). Certains Rootkits installent des backdoors (voir l'article sur les
chevaux de Troie). Contrairement aux
virus ou bien aux
vers, les rootkits ne sont pas capables de se dupliquer.
Pour installer un rootkit, il est nécessaire d'avoir les droits administrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.
Voici les principales actions des rootkits :
- Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
- Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.
Remarque :
La majorité des internautes utilisent des comptes administrateurs au lieu d'utiliser un compte limité et ceci facilite fortement l'installation de rootkits sur la machine !
Plus d'informations sur les rootkits
Méthodes de désinfection
Il se peut qu'une des méthodes, citées ci-dessous, échoue. Dans ce cas, postez un message sur le Forum
Virus/Sécurité, et une personne vous guidera pour la suite.
Première Méthode en utilisant Gmer
Gmer est un détecteur de rootkits puissant.
Utilisation :
- Rendez-vous sur cette page , et cliquez sur "Download EXE" pour télécharger Gmer sous un nom aléatoire (Pour tromper le Rootkit).
- Lancez Gmer
- Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
- Des lignes rouges doivent apparaître en cas d'infection :
- Sur ces lignes rouges:
- Services: Clic-droit puis delete service
- Process: Clic-droit puis kill process
- Adl, file: Clic-droit puis delete files
Comment savoir s'il s'agit d'un rootkit ?
Quand Gmer trouve un rootkit ou un fichier caché (hidden) cette ligne devient rouge.
A la fin des lignes vous devriez voir (en cas d'infections) les extensions suivantes :
- .dat
- .exe
- _nav.dat
- _navps.dat
Exemple d'infection :
C:\Users\crilaud\AppData\Local\igeysiy.dat
C:\Users\crilaud\AppData\Local\igeysiy.exe
C:\Users\crilaud\AppData\Local\igeysiy_nav.dat
C:\Users\crilaud\AppData\Local\igeysiy_navps.dat
Deuxième méthode en utilisant MalwareBytes' Anti-Malware :
MalwareBytes'Anti-Malware (MBAM) est un excellent logiciel pour détecter et supprimer les Malwares de tous genres (dont certains rootkits) en utilisant des méthodes d'analyses très sophistiquées.
Gratuit et en français, MalwareBytes'Anti-Malware est un programme utilisé sur de nombreux forums de désinfection et aussi à titre personnel par le grand public.
Pour avoir plus d'informations sur MalwareBytes'Anti-Malware veuillez-vous référer à cette
astuce.
Troisième méthode en utilisant la console de récupération
- Grâce à la console de récupération vous pouvez réparer Windows (en cas de perte de fichiers vitaux, par exemple) mais elle permet aussi de neutraliser les rootkits, il suffit de supprimer son driver.
- Utilisation : Regardez ce tutoriel .
Quatrième méthode en utilisant le logiciel Navilog se basant sur GMER
Il est cependant préférable de faire analyser le rapport avant la suppression sur le site de CCM:
1/ Sous XP
A/ la Recherche d'infection
Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
- "Analyse Termine le ....."
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
B/ la désinfection
- Lance navilog1
- Cette fois-ci, choisis l'option 2
- Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué "Nettoyage Termine le ....."
- Un rapport va être générer sur ton C:\ qui sera en option 2
Note : le bureau disparaît
- Colle le contenu du rapport de navilog (qui est en option2)
PS : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau.
2/ Sous Vista
A/ la Recherche d'infection
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.
Télécharge maintenant Navilog1 depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".
Au menu principal, fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
- "Analyse Termine le ..... "
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
B/ la désinfection
Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
Fais un clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".
Au menu principal, fais le choix 2
Laisse toi guider et patiente.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton PC ne redémarre pas automatiquement, fais-le toi-même)
Au redémarrage de ton PC, choisis ta session habituelle si nécessaire.
Patiente jusqu'au message :
- "Nettoyage Termine le ..... "
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaître
Réactive le contrôle des comptes utilisateurs (UAC)
PS : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau
Exemple de rapport Navilog montrant des infections :
C:\Windows\prefetch\oiucc*.pf supprimé !
C:\Users\azais\AppData\Local\oiucc.exe supprimé !
C:\Users\azais\AppData\Local\oiucc.dat supprimé !
C:\Users\azais\AppData\Local\oiucc_nav.dat supprimé !
C:\Users\azais\AppData\Local\oiucc_navps.dat supprimé !
A Voir également
Alpha antivirus supprimer
