1 votes

systempuntoout avatar

Comment supprimer un kit root de Windows XP?

Demandé el 1 de Novembre, 2012
Quand la question a-t-elle été
563 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Doublon possible :
Comment me débarrasser des logiciels espions malveillants, des logiciels malveillants, des virus ou des rootkits de mon PC ?

Je cherchais des kits root en suivant ces instructions http://computersight.com/software/how-to-manually-remove-rootkit/ et j'ai vu cela dans mon journal de démarrage :

Loaded driver \SystemRoot\System32\Drivers\awhk9fmc.SYS

J'ai essayé de rechercher ce nom de fichier dans Google mais rien n'a été trouvé. J'ai essayé de regarder le fichier sur le disque mais je ne l'ai pas trouvé. Presque tous les autres fichiers sont là. J'ai même essayé de démarrer sous Windows 98 et de monter le NTFS pour voir le fichier, mais il n'était toujours pas là. J'ai effectué une analyse complète avec Microsoft Security Essentials mais il n'a rien trouvé. Lorsque j'ai redémarré, j'ai vu cette ligne à la place :

Loaded driver \SystemRoot\System32\Drivers\a6n163gl.SYS
  1. Comment puis-je le supprimer ?
  2. Comment puis-je savoir ce qu'il fait ?
  3. Comment puis-je savoir quand il a été installé ?
  4. Comment puis-je savoir qui l'a écrit ?

Voici mon journal de démarrage complet :

    Service Pack 3 10 31 2012 17:35:36.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver sptd.sys
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltmgr.sys
Loaded driver sr.sys
Loaded driver MpFilter.sys
Loaded driver KSecDD.sys
Loaded driver WudfPf.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver uagp35.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\amdk7.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisgrp.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
Loaded driver \SystemRoot\system32\drivers\cmuda.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbohci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\sisnicxp.sys
Loaded driver \SystemRoot\System32\Drivers\avzk9sf5.SYS
Loaded driver \SystemRoot\system32\DRIVERS\fdc.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\parport.sys
Loaded driver \SystemRoot\system32\DRIVERS\gameenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\serscan.sys
Loaded driver \SystemRoot\system32\drivers\DrmCAudio.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\tap0901.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Loaded driver \SystemRoot\system32\DRIVERS\flpydisk.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srvkp.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver 
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \SystemRoot\system32\DRIVERS\ctxusbm.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\cbfs3.sys
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Did not load driver \SystemRoot\system32\DRIVERS\rdbss.sys
Did not load driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxdav.sys
Loaded driver \SystemRoot\System32\Drivers\ParVdm.SYS
Did not load driver \SystemRoot\System32\Drivers\StarOpen.SYS
Loaded driver \SystemRoot\system32\DRIVERS\srv.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
Demandé el 1 de Novembre, 2012 par systempuntoout

Réponses

Trop de publicités?

2voto

Hennes avatar
Hennes Points 63532

D'accord, objectif principal:

Comment puis-je le supprimer ?

Le seul moyen garanti est de le anéantir de l'orbite. Reformatez et réinstallez.

Il pourrait y avoir des moyens plus subtils pour le supprimer, mais à moins de savoir précisément à quoi vous avez affaire, vous ne pouvez pas être sûr. Ce qui signifie que vous ne devriez jamais utiliser ce PC pour des opérations bancaires. Plus d'achats en ligne avec des numéros de carte de crédit, etc.

À moins d'avoir une sauvegarde valide, c'est une chose sacrément ennuyeuse à faire. Mais c'est le seul moyen d'être en sécurité.

Je suggère de faire une copie du disque dur en premier. Vous pouvez le faire de plusieurs façons. Par exemple, un outil d'image tel que Acronis, Ghost, Clonezilla. Ce qui vous permettra de revenir à l'état dans lequel vous êtes maintenant. Une simple copie sur un disque externe est plus simple, mais ne supposez pas que copier tout reviendra à restaurer l'ancienne installation de Windows (surtout si le disque externe est formaté en FAT32). Une troisième option intéressante est de créer un fichier VMDK (disque vmware) ou un VHD à partir du disque (Outils pour cela ici sur technet et ici pour Vmware).

Ensuite, effacez complètement. Réinstallez à partir d'une image propre. Ne tentez pas de restaurer de fichiers pour l'instant. Installez les pilotes réseau si nécessaire. Puis mettez à jour complètement Windows.

C'est maintenant un bon moment pour créer une autre image système. Espérons que vous n'aurez jamais à refaire cela, mais si c'est le cas, cela vous fera gagner beaucoup de temps.

Installez les pilotes. Téléchargez-les à partir d'une source connue et sécurisée. Installez et mettez à jour l'antivirus.

À présent, nous avons un système sûr et vous pouvez commencer à analyser les sauvegardes que vous avez prises au début. Exécutez une analyse antivirus dessus. S'il est identifié, cela pourrait vous donner la réponse que vous cherchez.

Sinon, configurez une machine virtuelle (sans réseau). Restaurez l'image système sur celle-ci. Ensuite, installez des outils de débogage tels que process explorer, Rootkitrevealer et GMER.

Maintenant, vous êtes prêt à répondre à votre deuxième question.

Comment puis-je savoir quand il a été installé ?

S'il s'agit d'un logiciel espion, d'un cheval de Troie, d'un virus ou autre 'malveillant' : vous ne pouvez pas vous fier au système infecté. Vous devrez vérifier le système infecté avec une sauvegarde antérieure. À moins d'avoir beaucoup de sauvegardes régulières, cela ne réussira probablement pas.

S'il s'agit simplement d'un logiciel 'normal', alors il pourrait y avoir des dates dans les fichiers journaux et sur les fichiers eux-mêmes.

Comment puis-je savoir qui l'a écrit ?

S'il s'agit d'un virus ou similaire : vous ne pouvez pas. S'il s'agit légalement d'un logiciel écrit, il appartient à un programme ou un pilote. Ceux-ci devraient être accompagnés d'informations. Malheureusement, souvent un pilote est écrit par insérez votre nom ici.

Répondu el 1 de Novembre, 2012 par Hennes (63532 Points )

2voto

Chochos avatar
Chochos Points 3364

C'est une douleur sérieuse à faire. Il existe des outils spécialement conçus pour détecter les rootkits - gmer et root kit revealer viennent à l'esprit. Les fichiers que vous voyez ne sont évidemment pas des rootkits eux-mêmes - ils pourraient être générés par un autre fichier réellement caché. Ces outils détecteraient le rootkit, s'ils sont utilisés correctement. Les supprimer cependant, est difficile et ces outils nécessitent une certaine expertise pour être utilisés.

Tout d'abord, votre système est compromis. Il n'y a probablement aucune raison réelle de ne pas le reformater. Cependant, supposons hypothétiquement que vous vouliez enquêter sur ce que c'est. Les rootkits s'accrochent dans le système d'exploitation lui-même pour se cacher. En plus des outils précédemment mentionnés, vous pourriez utiliser un livecd de secours anti-virus pour scanner le système - microsoft system sweeper vient à l'esprit, mais il y en a d'autres.

Je suggérerais ensuite d'utiliser un livecd linux pour copier tous les fichiers que vous ne voulez pas perdre, puis de redémarrer sous windows. Faites à nouveau une analyse antivirus pour voir ce que cela donne.

Ensuite, bien sûr, la réinstallation est le choix intelligent ici.

Répondu el 1 de Novembre, 2012 par Chochos (3364 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X