Forumannonyme7

Partagez
Voir le sujet précédentAller en basVoir le sujet suivant
avatar
Admin
Admin
Messages : 100
Points : 1318
Date d'inscription : 02/10/2011
Voir le profil de l'utilisateurhttp://comment152.forumgratuit.org

Supprimer les rootkits

le Jeu 13 Oct - 10:56
Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). Certains Rootkits installent des backdoors (voir l'article sur les chevaux de Troie). Contrairement aux virus ou bien aux vers, les rootkits ne sont pas capables de se dupliquer.
Pour installer un rootkit, il est nécessaire d'avoir les droits administrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.

Voici les principales actions des rootkits :
Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.


Remarque :
La majorité des internautes utilisent des comptes administrateurs au lieu d'utiliser un compte limité et ceci facilite fortement l'installation de rootkits sur la machine !






Méthode en utilisant Gmer




Gmer est un détecteur de rootkits puissant.

Utilisation :
Rendez-vous sur cette page , et cliquez sur "Download EXE" pour télécharger Gmer sous un nom aléatoire (Pour tromper le Rootkit).
Lancez Gmer
Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
Des lignes rouges doivent apparaître en cas d'infection :
Sur ces lignes rouges:
Services: Clic-droit puis delete service
Process: Clic-droit puis kill process
Adl, file: Clic-droit puis delete files


Comment savoir s'il s'agit d'un rootkit ?

Quand Gmer trouve un rootkit ou un fichier caché (hidden) cette ligne devient rouge.

A la fin des lignes vous devriez voir (en cas d'infections) les extensions suivantes :
.dat
.exe
_nav.dat
_navps.dat
.sys


Exemple d'infection :

C:Users\crilaud\AppData\Local\igeysiy.dat
C:Users\crilaud\AppData\Local\igeysiy.exe
C:Users\crilaud\AppData\Local\igeysiy_nav.dat
C:Users\crilaud\AppData\Local\igeysiy_navps.dat

ou beaucoup sont des fichiers ".sys" dans \System32\Drivers.

Voir le sujet précédentRevenir en hautVoir le sujet suivant
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum