,

Supprimer un rootkit de Windows

malekalmorte

Création :

15 novembre 2010

Modification :

Les rootkits sont des menaces sophistiqués et dangereuses.
Si vous pensez que votre PC est infecté par un rootkit, vous êtes sur le bon article.

Ce tutoriel donne en revu les méthodes pour supprimer un rootkit sous Windows.
Ce tutoriel demande certains connaissances du système Windows, je vous déconseille de suivre ces procédures si vous êtes néophyte.

Comment supprimer un rootkit de Windows

Qu’est ce qu’un rootkit ?

Un rootkit est donc un programme qui est capable de se cacher de l’utilisateur et des autres programmes (les antivirus y compris).
Dans les années 2005 à 2008, les antivirus n’étaient pas capables de détecter les rootkits et il fallait employer un scanner spécial.
Depuis les antivirus sont capables de les détecter mais pas forcément capable de les supprimer.
Enfin avec les protections intégrées à Windows 10 et l’UEFI, les rootkits sont devenus des menaces moins importantes.

Pour plus de détails, lire ce guide complet.

Les rootkits sur Windows : le fonctionnement, détection et suppression

Comment supprimer un rootkit de Windows avec des anti-rootkits

Avant de commencer

Pour supprimer les rootkits, nous n’allons pas utiliser les scanner des éditeurs de sécurités qui ne sont pour le moment pas au point (souvent en version beta).

Ces derniers, par contre, peuvent tout à fait être utilisé pour détecter les rootkit néanmoins je vous conseille plutôt d’utiliser Gmer ou TDSSKiller qui s’avère être une solution très efficace.

J’insiste sur le fait de bien analyser les rapports de scan, les scanneur rootkit peuvent donner beaucoup plus de faux-positif que les scanner antivirus. Si vous êtes néophyte, ne vous précipiter pas à essayer de supprimer des éléments. Demander l’avis d’une personne qualifiée.

Dans ces exemples, nous allons surtout parler du Rootkit Pe386.
C’est un vieux rootkit qui servira d’exemple.

  • Ce rootkit utilise le driver/pilote, dans ce tutoriel, ce sera la variante C:\Windows\System32\:18467. Le driver est stocké dans un flux ADS (Alternate Data Streams). Il est impossible de le lister via l’explorateur de fichiers de Windows.
  • Le rootkit créé aussi le service pe386 afin de charger le pilote.
  • Le service ne peut être listé dans l’éditeur de service de Windows (service.msc) et la clé du service est masquée dans l’éditeur du registre (regedit).
  • Enfin Le service sert à charger le driver lors du démarrage de Windows.

Pe386 est l’un des rootkits les plus abouti avec LinkOptmizer/Gromozon

Depuis un Live USB

Le but ici est d’utiliser un système d’exploitation alternatif.
En effet, en démarrant sur un OS de secours, le rootkit n’est plus actif.
La suppression des fichiers est alors facilitée.

Par exemple, vous pouvez tenter :

A partir de là, il suffit simplement de supprimer le driver du rootkit.

Etant donné que sur le rootkit pe386, le driver eststocké dans un flux ADS, vous devez écraser ce flux par une simple copie de fichiers. Un fichier vide convient tout à fait.

Tapez la commande exit pour quitter la console de récupération.

Supprimer les rootkit

Windows redémarre… Le driver du rootkit étant détruit, ce dernier n’est plus actif.

Il est maintenant possible de visualiser la clef du service HKLM\SYSTEM\CurrentControlSet\Service\pe386 dans notre exemple dans l’éditeur du registre (regedit).

Supprimer les rootkit

La commande SC delete permet ensuite de supprimer le service pe386.
En réactualisant le registre Windows, on peut constater que la clef pe386 a disparu.

Supprimer les rootkit

Gmer

Gmer est un scanneur rootkit puissant qui est capable de détecter énormement de rootkit.
Il est aussi capable de supprimer la majorité des rootkits détectés.

Vous pouvez télécharger gmerdepuis la page : http://www.gmer.net

Le scan se fait à partir de l’onglet Rootkit puis en cliquant sur le bouton Scan en bas à droite.

Si gmer détecte un service rootkité, vous avez possibilité une fois le scan terminé en effectuant un clic droit Delete the service le dit service.

Ci-dessous le processus C:\Windows\System32\atfsffhrd.exe est un rootkit user-mode issu d’une infection Adware.Magic_Control.
Supprimer les rootkit

Vous pouvez tuer les processus rootkité, en effectuant un clic droit puis Kill Process

Supprimer les rootkit

Enfin en effectuant un clic droit sur les fichiers rootkité, vous pouvez les supprimer en cliquant sur Delete file

Supprimer les rootkit

Gmer fonctionne aussi en ligne de commande :

gmer -killall - tue tous les processus en cours
gmer -del service pe386 - supprime le service pe386
gmer -del reg"HKLM\SYSTEM\CurrentControlSet\Services\pe386" - supprime les clefs du service pe386 dans CurrentControlSet
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\pe386" - supprime les clefs du service pe386 dans ControlSet001
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\pe386" - supprime les clefs du service pe386 dans ControlSet002
gmer -del file "C:\WINDOWS\System32\:lzx32.sys" - supprime le fichier C:\WINDOWS\System32\:lzx32.sys 
gmer -reboot - redémarre l'ordinateur

The Avenger

The Avenger est un programme développé par Swandog46.

The Avenger très puissant qui permet de supprimer des fichiers & dossiers, clefs du registre, Il fonctionne via un script que l’utilisateur doit écrire.

L’utilisation de The Avenger demande quelques connaissances dans la syntaxe du script, il est recommandé de demander l’avis d’une personne qualifiée.

Voici un exemple de syntaxe pour supprimer un rootkit.
Sélectionne cette liste dans le cadre :

drivers to delete:
driver (note ne pas mettre l'extension .sys)
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\nom_du_service_a_supprimer
HKLM\SYSTEM\Services\ControlSet001\nom_du_service_a_supprimer
HKLM\SYSTEM\Services\ControlSet002\nom_du_service_a_supprimer
HKLM\SYSTEM\Services\ControlSet003\nom_du_service_a_supprimer
Files to Delete:
Chemin_du_fichier_a_supprimer
Chemin_du_fichier2_a_supprimer
Chemin_du_fichier3_a_supprimer
Folders to delete:
Chemin_du_dossier_a_supprimer
Chemin_du_dossier2_a_supprimer
Chemin_du_dossier3_a_supprimer

Ce qui peut donner pour le rootkit pe386 :

drivers to unload:
pe386
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\pe386
HKLM\SYSTEM\Services\ControlSet001\pe386
HKLM\SYSTEM\Services\ControlSet002\pe386
HKLM\SYSTEM\Services\ControlSet003\pe386

Après l’exécution du script, le service étant détruit, le driver n’est plus chargé.

Il convient cependant de supprimer l’ADS. Ceci peut être fait à l’aide d’HijackThis : Les ADS avec HijackThis

TDSSKiler de Kaspersky

TDSSKiller est un anti-rookit.
Cet outil très efficace, capable de détecter les rootkits, les hooks ainsi que des MD5 forgé.
Enfin TDSKiller est aussi capable de détecter et éradiquer les bootkits.

Malwarebytes Anti-Rootkit (MBAR)

Malwarebytes Anti-Rootkit (MBAR) : Malwarebytes Anti-Malware (MBAR)
Notez que vous pouvez activer la détection rootkit dans Malwarebyes Anti-Malware, à utiliser avec modération car cela peut générer instabilités systèmes.


HitMan Pro

HitMan Pro est capable de détecter toutes les menaces : adwares, trojans etc et aussi les rootkits

Les liens Hitman Pro: HitmanPro et Hitman Pro : Quelques tests

Les rootkits MBR (Bootkit)

Se reporter à la page : Rootkit MBR (Bootkit) : comment détecter et supprimer

Liens

A propros de malekalmorte

malekal-site-logo-150

Passionné par l'informatique depuis très jeune, j'aide les internautes sur les forums depuis 2005 pour résoudre leurs tracas informatiques.
Je vous propose par la même occasion ce site avec de nombreux tutoriels pour vous aider aussi à résoudre de manière autonome les problèmes informatiques du quotidien.

Maintenance et résolution de problème Windows

Le NAT (Network Address Translation) pour partager une connexion internet