Forumannonyme7

Forumannonyme7

un peut de tout


    Supprimer les rootkits

    Partagez
    avatar
    admin
    Admin
    Admin

    Messages : 100
    Points : 1316
    Date d'inscription : 02/10/2011

    Supprimer les rootkits

    Message  admin le Jeu 13 Oct - 10:56

    Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). Certains Rootkits installent des backdoors (voir l'article sur les chevaux de Troie). Contrairement aux virus ou bien aux vers, les rootkits ne sont pas capables de se dupliquer.
    Pour installer un rootkit, il est nécessaire d'avoir les droits administrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.

    Voici les principales actions des rootkits :
    Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
    Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.


    Remarque :
    La majorité des internautes utilisent des comptes administrateurs au lieu d'utiliser un compte limité et ceci facilite fortement l'installation de rootkits sur la machine !






    Méthode en utilisant Gmer




    Gmer est un détecteur de rootkits puissant.

    Utilisation :
    Rendez-vous sur cette page , et cliquez sur "Download EXE" pour télécharger Gmer sous un nom aléatoire (Pour tromper le Rootkit).
    Lancez Gmer
    Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
    Des lignes rouges doivent apparaître en cas d'infection :
    Sur ces lignes rouges:
    Services: Clic-droit puis delete service
    Process: Clic-droit puis kill process
    Adl, file: Clic-droit puis delete files


    Comment savoir s'il s'agit d'un rootkit ?

    Quand Gmer trouve un rootkit ou un fichier caché (hidden) cette ligne devient rouge.

    A la fin des lignes vous devriez voir (en cas d'infections) les extensions suivantes :
    .dat
    .exe
    _nav.dat
    _navps.dat
    .sys


    Exemple d'infection :

    C:Users\crilaud\AppData\Local\igeysiy.dat
    C:Users\crilaud\AppData\Local\igeysiy.exe
    C:Users\crilaud\AppData\Local\igeysiy_nav.dat
    C:Users\crilaud\AppData\Local\igeysiy_navps.dat

    ou beaucoup sont des fichiers ".sys" dans \System32\Drivers.


      La date/heure actuelle est Lun 26 Juin - 1:55