Tutorial et Guide Procédure standard de désinfection de virus

Par
malekalmorte
12 novembre 2010
-

Ce tutorial a pour but de vous donner les moyens de désinfecter votre ordinateur de manière autonome. Cette procédure est destiné au ordinateur ayant des multiples infections.

Je vous conseille de lire attentivement chaque étape.. sinon vous risquez d’endommager votre ordinateur.

Pour les plus pros d’entre-vous, vous pouvez aussi désinfecter votre ordinateur depuis un CD-Live, ce tutorial vous guide dans la création de ce CD de désinfection : Désinfecter son ordinateur avec un CD Live

Sommaire

  1. Procédure standard de désinfection de virus
    1. Sommaire
    2. Introduction
    3. Identifier son système et sauvegarder ses données
      1. Vérifier si le système est à jour
      2. Sauvegarder les données
    4. Préparer la désinfection
    5. Redémarrer en mode sans échec
    6. Et si on nettoyer tout cela ?
      1. CCleaner – Nettoyer les fichiers inutiles.
      2. Clean
      3. Malwarebyte’s Anti-Malware
      4. ZoneAlarm
      5. ComboFix
    7. Finir le nettoyage
      1. Installez Antivir l’antivirus gratuit le plus performent.
      2. Désactiver et réactiver la restauration du système
    8. Et ensuite ?
      1. Modifier les mots de passe
      2. J’ai été infecté car mon antivirus est mauvais?
    9. Liens

Introduction

Ce tutorial est destiné aux ordinateus très infectés (plusieurs infections différentes type trojan/backdoor) et très ralenti.
Cette procédure est destinée au Windows fonctionnant sous Windows 2000/XP et Vista.

Attention : Cette procédure ne garantie pas que la totalité de votre système sera désinfecté.. notamment, il se peut que vous soyez infecté par un rootkit qui sont malheureusement de plus en plus en vogue. De plus, même si les symptômes d’une infection (ralentissement etc..), cela ne garanti pas que votre système est sain.

Dans la mesure du possible, je vous conseille de faire valider la désinfection de votre ordinateur sur le forum du site.

Sauvegarder les données

Désinfecter un système peut l’endommager, ce dernier peut ne plus démarrer.

Il est très vivement conseillé d’effectuer une sauvegarde de vos données dans le cas d’un plantage de Windows lors de la désinfection.
Si ce n’est pas le cas, graver vos données ou copier les sur un disque dur externe/clefs USB (attention aux infections par disques amovibles).

Une fois la sauvegarde faite, il est aussi conseillé d’installer la console de récupération (NOTE lors de l’utilisation de Combofix, ce dernier vous proposera d’installer la console de récupération – une connexion internet fonctionnel est nécessaire) :

Dans le cas où votre système est planté.. et que vous n’avez pas fait de sauvegardes.. vous pouvez suivre ce tutorial : Récuperer ses données à partir d’un CD Live GNU/Linux et éventuellement poster sur le forum pour demander de l’aide pour remettre Windows sur les rails (dans le cas où c’est possible).

Préparer la désinfection

Votre système est à jour (au moins le service pack 1a pour Windows XP et SP4 pour Windows 2000 pour Windows Vista/Seven, ça n’a pas d’importance pour la désinfection).
Vous avez sauvegarder vos données…

Nous allons maintenant préparer la désinfection, à savoir télécharger les programmes neccessaires à la désinfection.. dans la mesure du possible, je vous adjoinderai à chaque fois un lien explicatif sur le fonctionnement des programmes.N’executez aucun de ces programmes pour le moment, contentez-vous de les télécharger.
Placez ces programmes sur votre bureau :

  • CCleaner (prendre la dernière version donc avec les chiffres les plus élevés dans le cadre vert à droite) – CCleaner permet de nettoyer les fichiers temporaires, le cache internet etc.. – Tutorial CCleaner
  • Télécharger Malwarebyte’s AntiMalware - Malwarebyte’s est un antimalware très performent qui supprime de nombreuses infections.
  • Telechargez Combofix de SuBs – Placez le sur votre bureau et pas ailleurs – Combofix est un programme qui supprime des trojans/backdoor connues et rootkits
  • ZoneAlarm – ZoneAlarm est un pare-feu qui filtre les connexion afin de bloquer les intrusions ou les infections par vers – Tutorial et configuration de ZoneAlarm – NOTE pour les utilisateurs de Windows Vista/Seven, l’installation de ZoneAlarm peut être facultative, le pare-feu de Windows Vista/Seven étant suffisant.

Vous devez donc vous retrouver sur votre bureau avec les icônes ci-dessous.
Si c’est le cas, nous pouvons commencer la désinfection !
Retroussez vos maches !

Procédure de désinfection virale

Redémarrer en mode sans échec

Toute la procédure va se dérouler en mode sans échec. Le mode sans échec est un mode restreint de Windows où seulement le minimum vital est mis en fonction.
Les infections (sauf les rootkits) ne seront donc pas mis en fonction, ceci permet un nettoyage optimal par les antivirus et cleaner.

Note 1 : Dans le cas où le mode sans échec est innaccessible (redémarrage au moment d’accéder au mode sans échec), faites les manipulations en mode normal.

Note 2 :  Il est possible que internet ne soit pas disponible en mode sans échec, si vous n’avez pas un second ordinateur pour consulter ce guide, je vous conseille de l’imprimer ainsi que les tutorials annexes afin de pouvoir poursuivre la procédure.

Vous pouvez suivre ce guide pour redémarrer en mode sans échec : Guide pour redémarrer en mode sans échec
Privilégier la méthode avec la touche F8 car par msconfig, vous risquez d’avoir ordinateur qui redémarre en boucle en mode sans échec, à savoir :

  • Redémarrer l’ordinateur
  • Avant la fenêtre avec le logo de Windows, tapotez sur la touche F8
  • Un menu va apparaître, choisissez Mode sans échec avec prise en charge du reseau
  • Choisissez votre compte, dans la mesure du possible celui avec lequel vous étiez en mode normal. Si vous ne connaissez pas votre mot de passe, laissez le champs vide et tentez la connexion.

Le bureau est accessible sur un fond noire avec des îcones plus grosses.. avec écrit au quatre coins de l’écran mode sans échec.
Nous ne quitterons maintenant le mode sans échec, une fois le nettoyage terminé, si un programme à la fin de son installation vous propose de redémarrer l’ordinateur, refusez.

Procédure de désinfection virale

Et si on nettoyer tout cela ?

Le nettoyage consiste à passer un par un les utilitaires.
Dans la mesure du possible et pour une meilleur efficacité, vous devez suivre cette procédure sans interruption à savoir éviter de redémarrer en mode normal.
N’hésitez pas à laisser tourner le scan toute la nuit si cela prend du temps.

NOTE : si les programmes Malwarebyte ou Combofix ne se lance pas (il se passe rien quand vous double-cliquez dessus), renommer les fichiers. Certaines infections bloque ces programmes afin d’empécher la désinfection. Exemple Total Security ou certaines variantes de braviax

CCleaner – Nettoyer les fichiers inutiles.

Vous pouvez consulter le tutorial CCleaner à l’adresse suivante : http://www.malekal.com/verifierProgrammes.php

Vous pouvez nettoyer les fichiers temporaires (qui sont généralement jamais effacé par les applications) et le cache internet.
Généralement les infections copies les droppers (le programme qui installent l’infection sur le système) dans les dossiers temporaires. Vous pouvez donc avoir des restes d’infections dans ces dossiers.

Après avoir installé CCleaner.. cliquez sur l’icône en haut à gauche Nettoyeur.
Puis cliquez en bas à droite sur Lancer le Nettoyage.

Procédure pour supprimer les Trojans/Backdoor

MalwareByte AntiMalware

Scanner votre ordinateur avec Malwarebyte’s Anti-Malware

Vous pouvez vous aider de cette vidéo illustratrice :

ZoneAlarm

ZoneAlarm est un pare-feu qui permet de filtrer les connexions, notamment les intrusions (souvent des machines infectées par des vers sur internet qui tente d’infecter la votre).
Vous devez installer ZoneAlarm seulement si vous n’avez pas de pare-feu sur votre ordinateur, deux pare-feu installés ne servent à rien à part ralentir votre ordinateur.
Si vous ne savez pas si vous avez de pare-feu installé sur votre ordinateur :

  • Ouvrez le panneau de configuration puis ajout/suppression de programmes
  • Vérifiez dans la liste que le mot firewall n’apparaît pas, ou les pare-feu ci-dessous ne soient pas déjà installés,
  • si c’est le cas il y a de grandes chances qu’un pare-feu soit déjà installé. N’installez pas ZoneAlarm

Les plus courant sont Kerio firewall, Outpost, Sygate Firewall, Ashampoo Firewall
Notez aussi que les suites de sécurités possèdent tous un firewall, de même, si vous avez une suite de sécurité, n’installez pas ZoneAlarm.

Pour installer ZoneAlarm.. suivez ce guide : Tutorial et configuration de ZoneAlarm

ComboFix

Pour plus d’aide, se reporter au tutorial officiel ComboFix

Double-clicquez sur ComboFix qui se trouve sur votre bureau,
Il va vous poser une question, réponds yes (touche y) puis attendez que ComboFix ait terminé.

Procédure de désinfection virale

Si rien ne marche, tentez les désinfections par CD Live – il est important d’avoir fait les sauvegardes de vos documents avant de passer à ces alternatives, Windows peut selon l’infection ne pas redémarrer :

Finir le nettoyage

Vous êtes maintenant de retour en mode normal. Si tout s’est bien passé, vous devriez noter une accélération de la vitesse de l’ordinateur.

Pour finir le nettoyage, vous pouvez :

Pour les infections par médias amovibles….

Si votre infection provient de médias amovibles (Clef USB, disque dur externe etc..), vous devez les nettoyer, pour cela utilisez FindyKill : Voir le tutorial FindyKill

Prévenez vos amis si vous avez utilisé votre clef/disque USB chez eux (ou les leurs sur votre PC infecté) car ils peuvent, à leur tour, avoir infecté leur PC.

Installez Antivir l’antivirus gratuit le plus performent

En gratuit, Avast! V5 peut faire l’affaire  : http://www.malekal.com/2010/11/12/tutorial-avast-v5/

Ainsi qu’Antivir : http://www.malekal.com/2010/11/12/tutorial-antivir/

Pour sécuriser son PC lire, se reporter à la page suivante : http://forum.malekal.com/securiser-son-ordinateur-version-courte-t381.html

Désactiver et réactiver la restauration du système

Windows 2000 n’a pas de programme de restauration du système, si vous êtes sous Windows 2000, vous n’êtes pas concernés par ce paragraphe.

Windows créé, de temps en temps et lors de l’installation de nouvelles applications, des points de restaurations. Si votre système était infecté lors de la création du point de restauration, des fichiers infectieux sont alors copiés dans ces points.

Les antivirus détectent souvent ces fichiers infectieux mais ont extrêmement de mal à les supprimer, les fichiers infectieux contenus dans les points de restauration se trouve dans les dossiers :  C:\System Volume Information

La solution pour supprimer les fichiers infectieux contenus dans des points de restauration et de désactiver puis de réactiver la restauration du système.
Lors de la désactivation, tous les points de restauration sont supprimés, ainsi les fichiers infectieux le sont aussi.

Cette opération est à effectuer seulement si votre système est stable, en effet, une fois les points de restauration supprimés, vous ne pourrez plus faire de restauration du système à une date où votre système était stable.

Et ensuite ?

Modifier les mots de passe

a majorité des infections à l’heure actuelle intègre des keyloggers (enregistreur de frappes claviers) ou execute des programmes qui recherche les mots de passes de vos sites WEB.
Il est très fortemment conseillé de modifier les mots de passes de TOUS vos sites WEB/FTP surtout si vous consultez le sites de votre banque, eBay, Paypal etc…

J’ai été infecté car mon antivirus est mauvais?

La question qui revient le plus souvent après une infection est « quel le meilleur antivirus » – « Mes protections sont-elles bonnes? ».
Vous cherchez l’ultime antivirus qui permet de protéger son système ?
Si c’est le cas, vous ne vous posez pas les bonnes questions… Les infections n’arrivent pas toutes seuls et sont soit le fruit de mauvaises habitudes, soit une méconnaissances de l’outil informatique dont les auteurs de malwares tirent parti.
Pour pallier à cela, il faut…… lire et se documenter un minium