Supprimer rootkit windows

Ce tutorial va tenter de passer en revu les possibilités pour supprimer un rootkit sous Windows.Ce tutorial demande certains connaissances du système Windows, je vous déconseille de suivre ces procédures si vous êtes néophyte.

Sommaire

  1. Supprimer les Rootkits sous Windows
    1. Sommaire
    2. Qu’est ce qu’un rootkit ?
    3. Supprimer les rootkits
      1. Avant de commencer
      2. La console de récupération
      3. Gmer
    4. IceSword
    5. The Avenger
    6. Autres Anti-Rootkits
    7. Rootkit MBR (Bootkit)

Qu’est ce qu’un rootkit ?

Vous trouverez une description des rootkits sur cette page : Qu’est ce qu’un rootkit

Un rootkit est donc un programme qui est capable de se cacher de l’utilisateur et des autres programmes (les antivirus y compris).

Pour détecter les rootkits, il faut employer des scanneurs rootkit.

Certaines solutions sont plus ou moins efficaces :

Les rootkit kernel-mode sont donc généralement composés d’un drivers (*.sys) et d’un service.

Supprimer les rootkits

Avant de commencer

Pour supprimer les rootkits, nous n’allons pas utiliser les scanner des éditeurs de sécurités qui ne sont pour le moment pas au point (souvent en version beta).

Ces derniers, par contre, peuvent tout àfait être utilisé pour détecter les rootkit notamment F-Secure BlackLight, néanmoins je vous conseille plutôt d’utiliser Gmer qui s’avère être une solution très efficace.

J’insiste sur le fait de bien analyser les rapports de scan, les scanneur rootkit peuvent donner beaucoup plus de faux-positif que les scanneur antivirus. Si vous êtes néophyte, ne vous précipiter pas à essayer de supprimer des éléments. Demander l’avis d’une personne qualifiée.

Dans ces exemples, nous allons surtoutparler du Rootkit Pe386 Je tiens à préciser qu’il existe un outil spécialement conçu pour le supprimer (voir Supprimer Rootkit pe386 / SpamTool.Win32.Mailbot.AZ), ces exemples sont donc plus à titre pédagogique qu’à utiliser pour supprimer ce rootkit.

L erootkit utilise le driver/pilote, dans ce tutorial, ce sera la variante C:\Windows\System32\:18467

- Le driver est stocké dans un flux ADS (Alternate Data Streams ), il est impossible de le lister via l’explorateur. (note : il existe plusieurs variantes de pe386 avec des flux ADS différents).

Pour plus d’informations sur les flux ADS, se reporter à ces pages
http://www.hsc.fr/ressources/breves/ADS.html.fr
http://jc.bellamy.free.fr/fr/stream.html

Le rootkit créé aussi le service pe386 (de même, il existe d’autres variantes avec un nom de service différent) qui est aussi rootkité.

Le service ne peut être vu dans l’éditeur de service (service.msc) et la clef du service est masqué dans l’éditeur du registre (regedit).

Le service sert à chargerle driver lors du démarrage de Windows.

Pe386 est l’un des rootkits les plus abouti avec LinkOptmizer/Gromozon

(les deux rootkits ont été créés par la même organisation). La majorité des autres rootkits sont soit des rootkits user-mode (beaucoup plus simple à supprimer), soit des kernel-mode se contentant

de charger un driver avec un service. Voici une adresse qui regroupe les rootkits les plus communs sous Windows : http://www.searchengines.pl/phpbb203/index…c=6745&st=0

La console de récupération

La console de récupération comme son nom l’indique permet d’effectuer des manipulations afin de réparer

Windows. Aucun élément de Windows n’est chargé mais vous avez cependant accès aux disques et à quelques commandes.

La console de récupération peut être installée ou vous pouvez redémarrer sur la console de récupération depuis le CD de Windows, pour plus d’informations, reportez-vous à ce lien : Installer et utiliser la console de récuparation de Windows

A partir de la console de récupération, il est tout à fait possible de « casser » le rootkit.

Il suffit simplement de supprimer le driver durootkit.

Etant donné que sur le rootkit pe386, le driver eststocké dans un flux ADS, vous devez écraser ce flux par une simple copie de fichiers. Un fichier vide convient tout à fait.

Tape zla commande exit pour quitter la console de récupération.

Supprimer les rootkit

Windows redémarre… Le driver du rootkit étant détruit, ce dernier n’ets plus actif.

Il est maintenant possibile de visualiser la clef du service HKLM\SYSTEM\CurrentControlSet\Service\pe386 dans notre exemple dans l’éditeur du registre (regedit).

Supprimer les rootkit

La commande SC delete permet ensuite de supprimer le service pe386 En réactualisant le registre, on peut constater que la clef pe386 a disparu.

Supprimer les rootkit
Gmer

Gmer est un scanneur rootkit puissant qui est capable de détecter énormement de rootkit. Il est aussi capable de supprimer la majorité desrootkits détectés.

Vous pouvez télécharger gmerdepuis la page : http://www.gmer.net

Lescan se fait à partir de l’onglet Rootkit puis en cliquant sur le bouton Scan en bas à droite.

Si gmer détecte un service rootkité, vousavez possibilité une fois le scan terminé en effectuant un clic droit Delete the service le dit service.

Note: le processus C:\Windows\System32\\atfsffhrd.exe est un rootkit user-mode issu d’une infection Adware.Magic_Control obtenu en installant MailSkinner.

Supprimer les rootkit

Vouspouvez tuer les processus rootkité, en effectuant un clic droit puis Kill Process

Supprimer les rootkit

Enfinen effectuant un clic droit sur les fichiers rootkité, vous pouvez les supprimer en cliquant sur Delete file

Supprimer les rootkit

Gmer fonctionne aussi en ligne de commande :

gmer -killall – tue tous les processus en cours
gmer -del service pe386 – supprime le service pe386
gmer -del reg »HKLM\SYSTEM\CurrentControlSet\Services\pe386″ - supprime les clefs du service pe386 dans CurrentControlSet
gmer -del reg « HKLM\SYSTEM\ControlSet001\Services\pe386″ – supprime les clefs du service pe386 dans ControlSet001
gmer -del reg « HKLM\SYSTEM\ControlSet002\Services\pe386″ – supprime les clefs du service pe386 dans ControlSet002
gmer -del file « C:\WINDOWS\System32\:lzx32.sys » – supprime le fichier C:\WINDOWS\System32\:lzx32.sys
gmer -reboot – redémarre l’ordinateur

IceSword

IceSword est un IDS qui vous permet d’avoir accès aux entrailles du système.

Vous pouvez télécharger IceSword depuis ce lien : http://xfocus.net/tools/200605/IceSword1.18en.rar

IceSword

IceSword vous permet :

  • supprimer n’importe quel service en supprimant la clef rootkité (HKLM\SYSTEM\CurrentControlSet\Services\xxxxx) à partir du bouton Registry
  • d’arrêter n’importe quel processus en cours (qu’il soit rootkité ou non)
  • supprimer n’importe quel fichier rootkité (à partir du bouton File)

IceSword est tout à fait capable de supprimer le rootkit pe386. Il suffit de supprimer la clef du Service en redémarrant l’ordinateur, le rootkit n’est plus actif.

Il convient ensutie de supprimer l’ADS. Ceci peut être fait à l’aide d’HijackThis : Les ADS avec HijackThis

Voustrouverez le tutorial IceWord à cette page : http://www.malekal.com/tutorial_IceSword.php

The Avenger

The Avenger est un programme développé par Swandog46.

The Avenger très puissant qui permet de supprimer des fichiers & dossiers, clefs du registre, Il fonctionne via un script que l’utilisateur doit écrire. L’utilisation de The Avenger demande quelques connaissances dans la syntaxe du script, il est recommandé de demander l’avis d’une personne

qualifiée.

The Avenger est téléchargeable depuis cette adresse : http://swandog46.geekstogo.com/

Vous trouverez la page de syntaxe du script à cette page : http://swandog46.geekstogo.com/avenger2/tutorial.html

Voir aussi la page de présentation sur le forum : http://forum.malekal.com/the-avenger-t22647.html#p189055

Voici

un exemple de syntaxe pour supprimer un rootkit :

Sélectionne cette liste dans le cadre :

drivers to delete:

driver (note ne pas mettre l’extension .sys)

 

registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\nom_du_service_a_supprimer

HKLM\SYSTEM\Services\ControlSet001\nom_du_service_a_supprimer

HKLM\SYSTEM\Services\ControlSet002\nom_du_service_a_supprimer

HKLM\SYSTEM\Services\ControlSet003\nom_du_service_a_supprimer

Files to Delete:

Chemin_du_fichier_a_supprimer

Chemin_du_fichier2_a_supprimer

Chemin_du_fichier3_a_supprimer

 

Folders to delete:

Chemin_du_dossier_a_supprimer

Chemin_du_dossier2_a_supprimer

Chemin_du_dossier3_a_supprimer

Ce qui peut donner pour le rootkit pe386

drivers to unload:

pe386

registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\pe386

HKLM\SYSTEM\Services\ControlSet001\pe386

HKLM\SYSTEM\Services\ControlSet002\pe386

HKLM\SYSTEM\Services\ControlSet003\pe386

Après l’exécution du script, le service étant détruit, le driver n’est plus chargé.

il convient cependant de supprimer l’ADS. Ceci peut être fait à l’aide d’HijackThis : Les ADS avec HijackThis

Quelques autres programmes efficaces

Malwarebytes Anti-Rootkit (MBAR) : http://www.malekal.com/2012/11/11/malwarebytes-anti-rootkit-mbar-beta/


HitMan Pro : http://www.malekal.com/2011/10/17/hitman-pro-quelques-tests/


Les rootkits MBR (Bootkit)

Se reporter à la page : http://forum.malekal.com/mbr-bootkit-comment-detecter-supprimer-t29519.html