Supprimer rootkit windows

Qu’est ce qu’un rootkit ?

Vous trouverez une description des rootkits sur cette page : Qu’est ce qu’un rootkit

Pour la partie technique, je vous invite à visiter la page de ce site qui est très bien faite : 3psilon : les rootkit

Un rootkit est donc un programme qui est capable de se cacher de l’utilisateur et des autres programmes (les antivirus y compris).

Pour détecter les rootkits, il faut employer des scanneur rootkit.

A l’heure, où l’article est écrit, les éditeurs de sécurités commencent à peine à développer leurs solutions :

• Panda Anti-rootkit
• McAfee Avert Labs Rootkit Detective Beta
• F-Secure BlackLight
• Sophos Anti-rootkit
• BitDefender RootkitUncover
• Gmer

Les rootkit kernel-mode sont donc généralement composés d’un drivers (*.sys) et d’un service.

Supprimer les rootkits

Avant de commencer

Pour supprimer les rootkits, nous n’allons pas utiliser les scanner des éditeurs de sécurités qui ne sont pour le moment pas au point (souvent en version beta).

Ces derniers, par contre, peuvent tout àfait être utilisé pour détecter les rootkit notamment F-Secure BlackLight, néanmoins je vous conseille plutôt d’utiliser Gmer qui s’avère être une solution très efficace.

J’insiste sur le fait de bien analyser les rapports de scan, les scanneur rootkit peuvent donner beaucoup plus de faux-positif que les scanneur antivirus. Si vous êtes néophyte, ne vous précipiter pas à essayer de supprimer des éléments. Demander l’avis d’une personne qualifiée.

Dans ces exemples, nous allons surtoutparler du Rootkit Pe386 Je tiens à préciser qu’il existe un outil spécialement conçu pour le supprimer (voir Supprimer Rootkit pe386 / SpamTool.Win32.Mailbot.AZ), ces exemples sont donc plus à titre pédagogique qu’à utiliser pour supprimer ce rootkit.

L erootkit utilise le driver/pilote, dans ce tutorial, ce sera la variante C:\Windows\System32\:18467

- Le driver est stocké dans un flux ADS (Alternate Data Streams ), il est impossible de le lister via l’explorateur. (note : il existe plusieurs variantes de pe386 avec des flux ADS différents).

Pour plus d’informations sur les flux ADS, se reporter à ces pages
http://www.hsc.fr/ressources/breves/ADS.html.fr
http://jc.bellamy.free.fr/fr/stream.html

Le rootkit créé aussi le service pe386 (de même, il existe d’autres variantes avec un nom de service différent) qui est aussi rootkité.

Le service ne peut être vu dans l’éditeur de service (service.msc) et la clef du service est masqué dans l’éditeur du registre (regedit).

Le service sert à chargerle driver lors du démarrage de Windows.

Pe386 est l’un des rootkits les plus abouti avec LinkOptmizer/Gromozon

(les deux rootkits ont été créés par la même organisation). La majorité des autres rootkits sont soit des rootkits user-mode (beaucoup plus simple à supprimer), soit des kernel-mode se contentant

de charger un driver avec un service. Voici une adresse qui regroupe les rootkits les plus communs sous Windows : http://www.searchengines.pl/phpbb203/index…c=6745&st=0

La console de récupération

La console de récupération comme son nom l’indique permet d’effectuer des manipulations afin de réparer

Windows. Aucun élément de Windows n’est chargé mais vous avez cependant accès aux disques et à quelques commandes.

La console de récupération peut être installée ou vous pouvez redémarrer sur la console de récupération depuis le CD de Windows, pour plus d’informations, reportez-vous à ce lien : Installer et utiliser la console de récuparation de Windows

A partir de la console de récupération, il est tout à fait possible de « casser » le rootkit.

Il suffit simplement de supprimer le driver durootkit.

Etant donné que sur le rootkit pe386, le driver eststocké dans un flux ADS, vous devez écraser ce flux par une simple copie de fichiers. Un fichier vide convient tout à fait.

Tape zla commande exit pour quitter la console de récupération.

Gmer

Gmer est un scanneur rootkit puissant qui est capable de détecter énormement de rootkit. Il est aussi capable de supprimer la majorité desrootkits détectés.

Vous pouvez télécharger gmerdepuis la page : http://www.gmer.net

Lescan se fait à partir de l’onglet Rootkit puis en cliquant sur le bouton Scan en bas à droite.

Si gmer détecte un service rootkité, vousavez possibilité une fois le scan terminé en effectuant un clic droit Delete the service le dit service.

Note: le processus C:\Windows\System32\\atfsffhrd.exe est un rootkit user-mode issu d’une infection Adware.Magic_Control obtenu en installant MailSkinner.

Vouspouvez tuer les processus rootkité, en effectuant un clic droit puis Kill Process

Enfinen effectuant un clic droit sur les fichiers rootkité, vous pouvez les supprimer en cliquant sur Delete file

Gmer fonctionne aussi en ligne de commande :

gmer -killall – tue tous les processus en cours
gmer -del service pe386 – supprime le service pe386
gmer -del reg »HKLM\SYSTEM\CurrentControlSet\Services\pe386″ - supprime les clefs du service pe386 dans CurrentControlSet
gmer -del reg « HKLM\SYSTEM\ControlSet001\Services\pe386″ – supprime les clefs du service pe386 dans ControlSet001
gmer -del reg « HKLM\SYSTEM\ControlSet002\Services\pe386″ – supprime les clefs du service pe386 dans ControlSet002
gmer -del file « C:\WINDOWS\System32\:lzx32.sys » – supprime le fichier C:\WINDOWS\System32\:lzx32.sys
gmer -reboot – redémarre l’ordinateur

IceSword

IceSword est un IDS qui vous permet d’avoir accès aux entrailles du système.

Vous pouvez télécharger IceSword depuis ce lien : http://xfocus.net/tools/200605/IceSword1.18en.rar

IceSword vous permet :

• supprimer n’importe quel service en supprimant la clef rootkité (HKLM\SYSTEM\CurrentControlSet\Services\xxxxx) à partir du bouton Registry
• d’arrêter n’importe quel processus en cours (qu’il soit rootkité ou non)
• supprimer n’importe quel fichier rootkité (à partir du bouton File)

IceSword est tout à fait capable de supprimer le rootkit pe386. Il suffit de supprimer la clef du Service en redémarrant l’ordinateur, le rootkit n’est plus actif.

Il convient ensutie de supprimer l’ADS. Ceci peut être fait à l’aide d’HijackThis : Les ADS avec HijackThis

Voustrouverez le tutorial IceWord à cette page : http://www.malekal.com/tutorial_IceSword.php

The Avenger

The Avenger est un programme développé par Swandog46.

The Avenger très puissant qui permet de supprimer des fichiers & dossiers, clefs du registre, Il fonctionne via un script que l’utilisateur doit écrire. L’utilisation de The Avenger demande quelques connaissances dans la syntaxe du script, il est recommandé de demander l’avis d’une personne

qualifiée.

The

Avenger est téléchargeable depuis cette adresse : http://swandog46.geekstogo.com/

Vous trouverez la page de syntaxe du script à cette page : http://swandog46.geekstogo.com/avenger2/tutorial.html

Voir aussi la page de présentation sur le forum : http://forum.malekal.com/the-avenger-t22647.html#p189055

Voici

un exemple de syntaxe pour supprimer un rootkit :

Sélectionne cette liste dans le cadre :

drivers to delete:

driver (note ne pas mettre l’extension .sys)

registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\nom_du_service_a_supprimer

HKLM\SYSTEM\Services\ControlSet001\nom_du_service_a_supprimer

HKLM\SYSTEM\Services\ControlSet002\nom_du_service_a_supprimer

HKLM\SYSTEM\Services\ControlSet003\nom_du_service_a_supprimer

Files to Delete:

Chemin_du_fichier_a_supprimer

Chemin_du_fichier2_a_supprimer

Chemin_du_fichier3_a_supprimer

Folders to delete:

Chemin_du_dossier_a_supprimer

Chemin_du_dossier2_a_supprimer

Chemin_du_dossier3_a_supprimer

Ce qui peut donner pour le rootkit pe386

drivers to unload:

pe386

registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\pe386

HKLM\SYSTEM\Services\ControlSet001\pe386

HKLM\SYSTEM\Services\ControlSet002\pe386

HKLM\SYSTEM\Services\ControlSet003\pe386

Après l’exécution du script, le service étant détruit, le driver n’est plus chargé.

il convient cependant de supprimer l’ADS. Ceci peut être fait à l’aide d’HijackThis : Les ADS avec HijackThis