Menu
  1. Accueil
  2. Fiches pratiques
  3. Sécurité
  4. Virus

Supprimer les rootkits

Dernière mise à jour le par avenuepopulaire .



Notre vidéo


Qu'est-ce que c'est un "rootkit" ?

Un rootkit est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). Certains Rootkits installent des backdoors (voir l'article sur les chevaux de Troie). Contrairement aux virus ou bien aux vers, les rootkits ne sont pas capables de se dupliquer.
Pour installer un rootkit, il est nécessaire d'avoir les droits administrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.

Voici les principales actions des rootkits :
  • Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
  • Ils peuvent être invisibles (processus cachés) ce qui les rend difficiles à désinfecter ou rendre leur suppression plus difficiles.


Les rootkits les plus répandus sont :

Remarque :
La majorité des internautes utilisent des comptes administrateurs au lieu d'utiliser un compte limité et ceci facilite fortement l'installation de rootkits sur la machine !

Plus d'informations sur les rootkits

Méthodes de désinfection

Il se peut qu'une des méthodes, citées ci-dessous, échoue. Dans ce cas, postez un message sur le Forum Virus/Sécurité, et une personne vous guidera pour la suite.

Préliminaire

Les rootkits peuvent rendre le système instable.
Avant de procéder à la suppression, il est fortement conseillé de sauvegarde les documents importants.

D'autre part, durant la suppression, fermez tous les programmes actifs et désactivez la protection antivirus.
Gardez bien les rapports de scan afin de les soumettre aux forums si par la suite vous désirez être aidé.

Première méthode : Malwarebyte's Anti-Rootkit

Malwarebyte fournit un scanneur Antirootkit très efficace.
Téléchargez et Lancez le programme : http://www.malwarebytes.org/products/mbar/
Lancez un scan.
Supprimez les éléments malicieux détectés.
Sauvegardez le rapport de scan/suppression.

Tutorial : http://www.malekal.com/2012/11/11/malwarebytes-anti-rootkit-mbar-beta/

Deuxième méthode RogueKiller

RogueKiller est un programme qui permet de détecter les rootkits.
Notamment il est capable de détecter et supprimer ZeroAccess/Sirefef.
  • ATTENTION Sur la page de RogueKiller - "Prenez le Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
  • Téléchargez sur votre bureau Roguekiller (suivre le lien officiel)
  • Quittez tous les programmes
  • Lancez RogueKiller.exe.
  • Attendez que le Prescan ait fini ...
  • Lancez un scan afin de débloquer le bouton Suppression à droite.
  • Clicquez sur Suppression.
  • Copiez/collez le contenu du rapport ici.


Tutorial RogueKiller : http://www.commentcamarche.net/faq/30719-utiliser-roguekiller
Tutorial Officiel RogueKiller : http://www.adlice.com/fr/logiciels/roguekiller/roguekiller-tutoriel-officiel/

Troisième méthode en utilisant la console de récupération

  • Grâce à la console de récupération vous pouvez réparer Windows (en cas de perte de fichiers vitaux, par exemple) mais elle permet aussi de neutraliser les rootkits, il suffit de supprimer son driver.
  • Utilisation : Regardez ce tutoriel .

Quatrième Méthode en utilisant Gmer


Gmer est un détecteur de rootkits puissant - la lecteur des rapports demande une certaine connaissance système.

Utilisation :
  • Rendez-vous sur cette page , et cliquez sur "Download EXE" pour télécharger Gmer sous un nom aléatoire (Pour tromper le Rootkit).
  • Lancez Gmer
  • Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
  • Des lignes rouges doivent apparaître en cas d'infection :
    • Sur ces lignes rouges:
      • Services: Clic-droit puis delete service
      • Process: Clic-droit puis kill process
      • Adl, file: Clic-droit puis delete files


Comment savoir s'il s'agit d'un rootkit ?

Quand Gmer trouve un rootkit ou un fichier caché (hidden) cette ligne devient rouge.

A la fin des lignes vous devriez voir (en cas d'infections) les extensions suivantes :
  • .dat
  • .exe
  • _nav.dat
  • _navps.dat
  • .sys


Exemple d'infection :

C:UserscrilaudAppDataLocaligeysiy.dat
C:UserscrilaudAppDataLocaligeysiy.exe
C:UserscrilaudAppDataLocaligeysiy_nav.dat
C:UserscrilaudAppDataLocaligeysiy_navps.dat

ou beaucoup sont des fichiers ".sys" dans System32Drivers

Cinquième méthode: Combofix

  • Il est conseillé de demander un avis sur le forum avant d'effectuer Combofix qui est un outil très puissant.
  • Télécharge ComboFix (de sUBs) sur ton Bureau.
  • /!Désactive temporairement toute protection résidente /! (Antivirus , Antispywares..)
  • Double clique sur ComboFix.exe.(Sous Vista , il faut cliquer droit sur Combofix.exe et choisir Exécuter en tant qu'administrateur).
  • Accepte la licence en cliquant sur Oui.
  • Le programme va vous demander si vous souhaitez installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne.Je vous conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Postez ce rapport dans votre prochaine réponse.
  • Le rapport ce trouve ici : %SystemDrive%ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C: en général)
  • Aide :Comment utiliser ComboFix.

Vérification

Il est conseillé de faire un scan en ligne pour vérifier qu'il ne reste pas des applications infectées. pour cela rendez vous sur ce lien: antivirus en ligne

Désactivation/Réactivation de la restauration système

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

A Voir également les antirootkits de certains concepteurs

NOTE - La majorité des produits suivants sont inclus dans les suites antivirus.

Si vous avez d'aide, vous pouvez créer un sujet dans la partie Virus du forum : http://www.commentcamarche.net/forum/virus-securite-7
Cet article est régulièrement mis à jour par des experts sous la
direction de Jean-François Pillou, fondateur de CommentCaMarche
et directeur délégué au développement numérique du groupe Figaro.

A voir également

Ce document intitulé « Supprimer les rootkits » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.