FORUM F.A.E.I
Veuillez Vous inscrire pour pouvoir consulter les informations du Forum, Merci de votre compréhension !

FORUM F.A.E.I


 
AccueilAccueil  PortailPortail  FAQFAQ  RechercherRechercher  S'enregistrerS'enregistrer  ConnexionConnexion  Logiciel(s)Logiciel(s)  ContributionContribution  
Bonjour, Bienvenue à tous nos membres, bonne visite sur le forum et très bonne lecture Salut pour une désinfection : http://www.faei-entraide.net/post?f=4&mode=newtopic
Pour éviter tout encombrement, veuillez s'il vous plait vider votre boite de messagerie Privée .... Merci de votre compréhension Wink
Rechercher
 
 

Résultats par :
 
Rechercher Recherche avancée
Connexion
Nom d'utilisateur:
Mot de passe:
Connexion automatique: 
:: Récupérer mon mot de passe
Mises à jour importantes
TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

Navigation
Partenaires
TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE

TEXTE REPERE
Sujets les plus actifs
Pour réveiller un petit peu le forum :)
Malwaresbytes
mon ordi rame
RECHERCHE VULNERABILITE
[résolu]probleme d'internet
recherche origine Windows
Secure Preférence
Quelques petits problêmes
rapport ZHPDiag
extensions Google chrome
Derniers sujets
» remerciement
par pimprenelle27 Mar 18 Juil - 0:14

» Site sur la généalogie
par pimprenelle27 Lun 10 Juil - 18:20

» Cyberattaque : pourquoi il faut avoir peur de GoldenEye
par pimprenelle27 Ven 30 Juin - 18:12

» Disparition de Simone Veil
par pimprenelle27 Ven 30 Juin - 18:02

» Savoir si des personnes ne se connecte pas à votre place sur Facebook
par pimprenelle27 Ven 30 Juin - 17:38

» Accès au streaming rançonné
par pimprenelle27 Dim 25 Juin - 12:42

» Essai Modération
par pimprenelle27 Mar 20 Juin - 13:39

» Mise a jour wind10
par pimprenelle27 Lun 19 Juin - 17:40

» Quelques petits problêmes
par pimprenelle27 Lun 19 Juin - 17:29

Les posteurs les plus actifs de la semaine
Sondage
Sous qu'elle plateforme de Windows êtes Vous ?
Windows 8
29%
 29% [ 17 ]
Windows 7
44%
 44% [ 26 ]
Windows Vista
20%
 20% [ 12 ]
Windows XP
7%
 7% [ 4 ]
Total des votes : 59




Partagez | 
 

 Infection Rootkit

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
pimprenelle27
Administrateur
Administrateur
avatar

Messages : 1570
Points : 2215
Réputation : 51

MessageSujet: Infection Rootkit   Ven 1 Mar - 21:44



Infection Rootkit qu'est ce que c'est :


Le terme de rootkit est ancien et remonte aux débuts des systèmes d’exploitation développés sur une base UNIX. Pour les systèmes UNIX, les rootkits sont des programmes permettant l’attribution de droits correspondant au niveau root level pour certains utilisateurs (équivalent d’administrateur sous Windows).

Le terme de rootkits sous Windows (en Français : "kit de démarrage") fait référence à tout autre chose : il s’agit de logiciels malveillants qui tentent de se cacher afin de ne pas être repérés par les antivirus et dissimule la présence de programmes néfastes.

Les rootkits ne sont pas dangereux par eux-mêmes mais ils sont utilisés dans un but malveillant par des virus, des backdoors ou des logiciels espions. Un virus combiné à un rootkit peut alors agir de façon complètement transparente sur un ordinateur, même équipé d’un antivirus avec analyse en temps réel et à jour.

Contrairement aux virus ou bien aux vers, les rootkits ne sont pas capables de se dupliquer.

Pour installer un rootkit, il est nécessaire d'avoir les droits administrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.

Voici les principales actions des rootkits :

* Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
* Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.

(Source CCM et Wikipédia)



Les différents types de rootkits



- Rootkit : Bagle
- Rootkit : W32/TDSS
- Rootkit : Tidserv
- Rootkit : TDSServ
- Rootkit : TDL 2
- Rootkit : TDL3
- Rootkit : TDL 4
- Rootkit : MBR Sinowal / Trojan.Mebroot
- Rootkit : Banker
- Sirefef.B / Rootkit.Win32.ZAccess


/!\ : Attention à la nouvelle variante de ZeroAccess! Elle neutralise l'antivirus MSE (Microsoft) en créant une jonction sur son répertoire. RogueKiller ne répare pas les dégâts, utilisez Malwarebytes AntiRootkit (MBAR)



Exemple de lignes issues d'un rapport ZHP diag démontrant l'infection :


Citation :

C:\Windows\system32\drivers\SKYNETqvxnsomm.sys ==> Rootkit W32/TDSS
c:\windows\system32\SKYNETqvxnsomm.dll ==> Rootkit W32/TDSS
c:\windows\system32\SKYNETqvxnsomm.dat ==> Rootkit W32/TDSS
C:\Windows\System32\drivers\srosa.sys ==> Rootkit.Bagle
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)
C:\WINDOWS\system32\tdssadw.dll ==> Rootkit TDSSserv (Source CCM)
C:\WINDOWS\system32\tdssinit.dll ==> Rootkit TDSSserv (Source CCM)
C:\WINDOWS\system32\tdssl.dll ==> Rootkit TDSSserv (Source CCM)
C:\WINDOWS\system32\tdsslog.dll ==> Rootkit TDSSserv (Source CCM)
C:\WINDOWS\system32\tdssmain.dll ==> Rootkit TDSSserv (Source CCM)
C:\WINDOWS\system32\tdssservers.dat ==> Rootkit TDSSserv (Source CCM)
C:\WINDOWS\system32\drivers\tdssserv.sys ==> Rootkit TDSSserv v
c:\windows\system32\TDSSblat.dat ==> Rootkit TDSSserv (Source CCM)
c:\windows\system32\TDSSqoaa.log ==> Rootkit TDSSserv (Source CCM)

Infection Rootkit MBR ( Master Boot Record qui permet de charger le système d'exploitation):

---\\ Recherche Master Boot Record Infection (MBR)(O80)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Run by Tifab at 22/03/2011 15:10:07

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x86458439]<<
1 nt!IofCallDriver[0x82846149] -> \Device\Harddisk0\DR0[0x858711A8]
3 CLASSPNP[0x88EC2745] -> nt!IofCallDriver[0x82846149] -> [0x85682850]
5 acpi[0x82F6D6A0] -> nt!IofCallDriver[0x82846149] -> [0x8567EBA0]
\Driver\atapi[0x861B72E0] -> IRP_MJ_CREATE -> 0x86458439
kernel: MBR read successfully
detected hooks:
\Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskFUJITSU_MHV2160BT_PL____________________00000050#5&30feb803&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
\Driver\atapi -> 0x8561e1f8
user != kernel MBR !!!
Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.




Comment faire pour s'en débarrasser :

- Pour s'en débarrasser, il faut utiliser :
- Gmer pour vérifier que l'infection est bien présente.
- Ensuite passer TdssKiller qui permet de supprimer certains rootkits.
- Puis si l'infection est toujours présente, passer Combofix pour supprimer complètement l'infection (mais attention si combofix détecte des fichiers patchés et ne les à pas remplacer, poster votre rapport sur le forum afin qu'un helper confirmé puisse remplacer le fichier)
- Et pour finir passez cet outil généraliste MalwareBytes Anti-Malware afin de supprimer d'éventuels restes.
- En toute dernière fin faire un rapport de diagnostic de l'ordinateur avec ZHP Diag afin de s'assurer que l'infection n'est plus présente.




Comment faire pour l'éviter :

- Tout simplement en faisant attention à ce que l'on fait sur Internet et son ordinateur, réfléchir avant d'agir afin de ne pas se faire infecter et surtout télécharger depuis les sites officiels et éviter le Peer to Peer


Si vous éprouvez des difficultés à retirer cette infection, nous vous invitons à venir nous demander conseil sur notre forum :
=> http://faei-entraide.forumactif.org/f4-virus-securite


__________________________
PIMPRENELLE27
Contributeur sécurité sur : F.A.E.I - C.C.M -   Windows 7-Windows 8 -
Helper-Formation-Entraide
Diplômée de : Helper Formation (lien cliquable)
Revenir en haut Aller en bas
http://faei-entraide.forumactif.org
 
Infection Rootkit
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» [Résolu] Rootkit : win32-rootkit-gen
» infection winlogon ? pc lent
» [Résolu] Pb infection searchqu.com
» Infection ( abandonné)
» Infection MSN / Windows Live Messenger

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
FORUM F.A.E.I :: .:: FAQ / Tutoriel / Astuces ::. :: Tutoriels :: Windows-
Sauter vers: