Projet AntiMalware

Procédure standard de désinfection de virus 

Ce tutorial a pour but de vous donner les moyens de désinfecter votre ordinateur de manière autonome. Cette procédure est destiné au ordinateur ayant des multiples infections.

Je vous conseille de lire attentivement chaque étape.. sinon vous risquez d'endommager votre ordinateur.

Pour les plus pros d'entre-vous, vous pouvez aussi désinfecter votre ordinateur depuis un CD-Live, ce tutorial vous guide dans la création de ce CD de désinfection : Désinfecter son ordinateur avec un CD Live

Sommaire

  1. Procédure standard de désinfection de virus 
    1. Sommaire
    2. Introduction
    3. Identifier son système et sauvegarder ses données
      1. Vérifier si le système est à jour
      2. Sauvegarder les données
    4. Préparer la désinfection
    5. Redémarrer en mode sans échec
    6. Et si on nettoyer tout cela ?
      1. CCleaner - Nettoyer les fichiers inutiles.
      2. Clean
      3. eScan Antivirus ToolKit
      4. ZoneAlarm
      5. SDFix
      6. ComboFix
    7. Finir le nettoyage
      1. Installez Antivir l'antivirus gratuit le plus performent.
      2. Désactiver et réactiver la restauration du système
    8. Et ensuite ?
      1. Rapporter votre infection pour condamner les auteurs
      2. Modifier les mots de passe
      3. J'ai été infecté car mon antivirus est mauvais?
    9. Liens

Introduction

Ce tutorial est destiné aux ordinateus très infectés (plusieurs infections différentes type trojan/backdoor) et très ralenti.
Cette procédure est destinée au Windows fonctionnant sous Windows 2000 et XP.

La procédure étant assez longue, si votre antivirus ne détecte qu'un fichier infectieux, je vous conseille plutôt de vous rendre dans  la partie Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..) Vous pouvez aussi utiliser le bouton rechercher sur site dans la barre horizontale en tappant le nom du fichier infecté ou le nom du virus détecté pour trouver plus facilement la procédure de désinfection type à cette infection.

Ce tutorial n'est PAS destiné aux ordinateurs infectés par des adwares, recevant des popups de publicités ou autres.. Si vous êtes dans ce cas, suivez les procédures de la page Supprimer les popup intempestives. Cette procédure aura très peu d'incidence sur les infections de types adwares.

Attention : Cette procédure ne garantie pas que la totalité de votre système sera désinfecté.. notamment, il se peut que vous soyez infecté par un rootkit qui sont malheureusement de plus en plus en vogue. De plus, même si les symptômes d'une infection (ralentissement etc..), cela ne garanti pas que votre système est sain.

Dans la mesure du possible, je vous conseille de faire valider la désinfection de votre ordinateur sur le forum du site.

Identifier son système et sauvegarder ses données

Vérifier si le système est à jour
Avant de se lancer dans le combat, il convient d'effectuer deux opérations.
La première consiste à vérifier si votre système est à jour, pourquoi ? tout simplement parce que si vous suivez cette procédure de désinfection et que vous supprimez la totalité des infections présentes sur votre ordinateur.. le simple faite que votre ordinateur ne soit pas à jour.. en vous reconnectant, vous risquez de réinfecter celui-ci.
Il est donc important que votre système soit à jour avant que vous commenciez à la procédure.

Pour vérifier cela :
  • Faites un clic droit sur l'icone Poste de travail puis dans le menu déroulant, choisissez propriétés.
  • La fenêtre ci-dessous s'ouvre alors.
  • Vous devez vérifier que le mot Service Pack apparaît.
Si les mots Service Pack 2 sont présents, votre système est à jour.
Si ce dernier est présent, si vous avez Service Pack 1a votre système n'est pas à jour mais protégé, vous pourrez le mettre à jour après avoir désinfecter celui-ci.
Si aucun de ces mots n'apparaît, votre ordinateur n'est pas à jour.
Vous devez installer le Service pack 1a, ce dernier est téléchargeable depuis ce lien. Faites le c'est très important.

Pour les ordinateurs sous Windows 2000, vous devez avoir au moins installé le service pack 4, Celui-ci est disponible à partir de ce lien.

Pour ceux qui auraient une version crackée de Windows, bonnes nouvelles :
  • Je pense que vous êtes au courant... mais Le piratage est illégal
  • Microsoft bloque les mises à jour pour les systèmes Windows non authentique, vous ne pourrez donc pas mettre votre Windows à jour, ce dernier restera donc vulnérable sur internet.
    • Si votre firewall s'arrete et que vous êtes connecté via un modem.. pouf infection.
    • Si vous utilisez Internet Explorer qui n'est donc pas à jour.. la simple visite d'un site pourri et c'est l'infection comme vous pouvez le voir sur cet exemple : Le danger des cracks !

Procédure de désinfection des virus
Sauvegarder les données
Désinfecter un système peut l'endommager, ce dernier peut ne plus démarrer.

Il est très vivement conseillé d'effectuer une sauvegarde de vos données dans le cas où vous devez réinstaller Windows.
Si votre système est sur la partition C et vos données sur une autre partition, vous n'avez pas besoin d'effectuer de sauvegarde.
Si ce n'est pas le cas, graver vos données ou copier les sur un disque dur externe/clefs USB.

Dans le cas où votre système est planté.. et que vous n'avez pas fait de sauvegardes.. vous pouvez suivre ce tutorial : Récuperer ses données à partir d'un CD Live GNU/Linux

La majorité des infections à l'heure actuelle intègre des keyloggers (enregistreur de frappes claviers) ou execute des programmes qui recherche les mots de passes de vos sites WEB.

Il est très fortemment conseillé de modifier les mots de passes de TOUS vos sites WEB surtout si vous consultez le sites de votre banque, eBay, Paypal etc... Vous pouvez effectuer l'opération depuis une machine propre et non infectée ou le faire quand votre machine sera complètement désinfectée.

Préparer la désinfection

Votre système est à jour (au moins le service pack 1a).
Vous avez sauvegarder vos données...

Nous allons maintenant préparer la désinfection, à savoir télécharger les programmes neccessaires à la désinfection.. dans la mesure du possible, je vous adjoinderai à chaque fois un lien explicatif sur le fonctionnement des programmes. N'executez aucun de ces programmes pour le moment, contentez-vous de les télécharger
Placez ces programmes sur votre bureau :
  • CCleaner (prendre la dernière version donc avec les chiffres les plus élevés dans le cadre vert à droite) - CCleaner permet de nettoyer les fichiers temporaires, le cache internet etc.. - Tutorial CCleaner
  • Télécharger eScan - eScan est un "cleaner", il supprime tous les infections, il est basée sur la base virale de Kaspersky - Tutorial eScan Antivirus Toolkit
  • Telechargez Combofix de SuBs - Placez le sur votre bureau et pas ailleurs - Combofix est un programme qui supprime des trojans/backdoor connues et rootkits
  • SDFix d'AndyManchesta - SDfix est un programme qui supprime des trojans/backdoor connues et rootkits
  • clean de Malekal_morte - clean est un programme qui supprime des fichiers étants connus pour être des malwares.
  • ZoneAlarm - ZoneAlarm est un pare-feu qui filtre les connexion afin de bloquer les intrusions ou les infections par vers - Tutorial et configuration de ZoneAlarm
Vous devez donc vous retrouver sur votre bureau avec les icônes ci-dessous.
Si c'est le cas, nous pouvons commencer la désinfection !
Retroussez vos maches !
Procédure de désinfection virale

Redémarrer en mode sans échec

Toute la procédure va se dérouler en mode sans échec. Le mode sans échec est un mode restreint de Windows où seulement le minimum vital est mis en fonction.
Les infections (sauf les rootkits) ne seront donc pas mis en fonction, ceci permet un nettoyage optimal par les antivirus et cleaner.

Note 1 : Dans le cas où le mode sans échec est innaccessible (redémarrage au moment d'accéder au mode sans échec), faites les manipulations en mode normal.

Note 2 :  Il est possible que internet ne soit pas disponible en mode sans échec, si vous n'avez pas un second ordinateur pour consulter ce guide, je vous conseille de l'imprimer ainsi que les tutorials annexes afin de pouvoir poursuivre la procédure.

Vous pouvez suivre ce guide pour redémarrer en mode sans échec : Guide pour redémarrer en mode sans échec
Privilégier la méthode avec la touche F8 car par msconfig, vous risquez d'avoir ordinateur qui redémarre en boucle en mode sans échec, à savoir :
  • Redémarrer l'ordinateur
  • Avant la fenêtre avec le logo de Windows, tapotez sur la touche F8
  • Un menu va apparaître, choisissez Mode sans échec avec prise en charge du reseau
  • Choisissez votre compte, dans la mesure du possible celui avec lequel vous étiez en mode normal. Si vous ne connaissez pas votre mot de passe, laissez le champs vide et tentez la connexion.

Le bureau est accessible sur un fond noire avec des îcones plus grosses.. avec écrit au quatre coins de l'écran mode sans échec.
Nous ne quitterons maintenant le mode sans échec, une fois le nettoyage terminé, si un programme à la fin de son installation vous propose de redémarrer l'ordinateur, refusez.
Procédure de désinfection virale

Et si on nettoyer tout cela ?

Le nettoyage consiste à passer un par les un les utilitaires.
Ceci peut prendre du temps car eScan et Dr Web Cure-It vont scanner à leurs tours le système au complet.
Dans la mesure du possible et pour une meilleur efficacité, vous devez suivre cette procédure sans interruption à savoir éviter de redémarrer en mode normal.
N'hésitez pas à laisser tourner le scan toute la nuit si cela prend du temps.

CCleaner - Nettoyer les fichiers inutiles.
Vous pouvez consulter le tutorial CCleaner à l'adresse suivante : http://www.malekal.com/verifierProgrammes.php

Vous pouvez nettoyer les fichiers temporaires (qui sont généralement jamais effacé par les applications) et le cache internet.
Généralement les infections copies les droppers (le programme qui installent l'infection sur le système) dans les dossiers temporaires. Vous pouvez donc avoir des restes d'infections dans ces dossiers.

Après avoir installé CCleaner.. cliquez sur l'icône en haut à gauche Nettoyeur.
Puis cliquez en bas à droite sur Lancer le Nettoyage.

Procédure pour supprimer les Trojans/Backdoor
Clean
clean est fourni en fichier compressé, pour pouvoir l'utiliser vous devez décompresser celui-ci. Ne double-cliquez pas directement sur le fichier clean.zip !! Pour cela, faites un clic droit puis dans le menu déroulant, choisissez décompresser tout ou extraire tout. Ceci doit créer un nouveau dossier nommé clean.

Procédure de désinfection virale

  • Double-cliquez sur le nouveau dossier clean
  • Dans la liste, vous devez avoir clean.cmd (le .cmd peut ne pas être présent chez vous).
  • Double-cliquez sur clean.cmd.

Procédure de désinfection virale
  • Un menu s'ouvre... Choisissez l'option 2 en tappant sur la touche 2 de votre clavier.
  • Appuyez sur la touche entrée pour valider.
Procédure de désinfection virale
Suivez les instructions à l'écran.. le nettoyage peut prendre quelques minutes.. Laissez l'opération s'effectuer.
Une fois le nettoyage terminée.. un rapport va s'ouvrir sur le bloc-note.
Si vous comptez demander de l'aide sur un forum.. je vous conseil d'enregistrer le rapport (Menu fichier / Enregistrer-Sous) sur votre bureau afin de pouvoir y accéder en mode normal.

eScan Antivirus ToolKit
Le guide pour eScan Antivirus ToolKit est disponible à partir de ce lien : http://www.malekal.com/tutorial_eScan_antivirus_toolkit.php

  • Double-cliquez sur le fichier mawav.exe qui se trouve sur le bureau.
  • Cliquez sur le bouton Décompresser. Ceci va décompresser Kaspersky dans le dossier C:\Kaspersky.
Procédure de désinfection virale Procédure de désinfection virale
  • eScan Toolkit s'ouvre alors..
  • Cochez les options comme dans la capture ci-dessous
  • Cliquez sur le bouton en bas à droite Scan Clean pour lancer le nettoyage.
Procédure de désinfection virale

Le scan s'effectue alors... Laissez le scan s'opérer jusqu'à la fin.
Si vous comptez demander de l'aide sur un forum..  je vous conseil d'effectuer ces opérations afin d'obtenir un rapport de scan.
  • A la fin du scan.. sélectionne tous les éléments dans la partie de fenêtre Virus Log Information
  • Fais un clic droit puis copier.
  • Vas sur le bloc-note puis Menu Edition / Coller
  • Cela afin de copier/coller tous les éléments qui sont dans Virus log Information dans le bloc-note
  • Enregistre le fichier : Menu Fichier / Enregistrer-sous
  • Nomme le eScan.log
ZoneAlarm
ZoneAlarm est un pare-feu qui permet de filtrer les connexions, notamment les intrusions (souvent des machines infectées par des vers sur internet qui tente d'infecter la votre).
Vous devez installer ZoneAlarm seulement si vous n'avez pas de pare-feu sur votre ordinateur, deux pare-feu installés ne servent à rien à part ralentir votre ordinateur.
Si vous ne savez pas si vous avez de pare-feu installé sur votre ordinateur :
  • Ouvrez le panneau de configuration puis ajout/suppression de programmes
  • Vérifiez dans la liste que le mot firewall n'apparaît pas, ou les pare-feu ci-dessous ne soient pas déjà installés,
  • si c'est le cas il y a de grandes chances qu'un pare-feu soit déjà installé. N'installez pas ZoneAlarm

Les plus courant sont Kerio firewall, Outpost, Sygate Firewall, Ashampoo Firewall
Notez aussi que les suites de sécurités possedent tous un firewall, de même, si vous avez une suite de sécurité, n'installez pas ZoneAlarm.

Pour installer ZoneAlarm.. suivez ce guide : Tutorial et configuration de ZoneAlarm

SDFix
Pour plus d'aide, reportez-vous au tutorial SDFix
  • Double-cliquez sur le fichier SDFix.exe, la décompression du programme va s'effectuer
  • Le Bloc-note va s'ouvrir pour vous signaler que le programme a été décomprésse dans C:\SDFix
  • Cliquez sur le menu Démarrer puis executer
  • Saisissez la commande suivante : %systemdrive%\SDfix puis cliquez sur OK.
  • Le dossier SDfix s'ouvre... Double-cliquez sur RunThis.bat (le .bat peut ne pas être présent).
Procédure de désinfection virale
  • Le programme se lance...
  • Répondez oui à la question en appuyant sur la touche Y puis appuyez sur la touche entrée du clavier pour valider.
Procédure de désinfection virale
  • Le menu Démarrer va disparaître.. ceci est normal.
  • Une fois que le programme a fini le nettoyage... vous obtenez la fenêtre ci-dessous.
  • SDFix va alors redémarrer l'ordinateur... Nous allons quitter le mode sans échec.
  • Appuyez sur une touche pour redémarrer l'ordinateur
Procédure de désinfection virale
Une fois l'ordinateur redémarré.. un rapport s'ouvre.
N'hésitez pas non plus à l'enregistrer sur votre bureau, si vous comptez demander de l'aide sur un forum de sécurité.

Pour plus d'aide, reportez-vous au tutorial SDFix

ComboFix
Pour plus d'aide, se reporter au tutorial officiel ComboFix

Double-clicquez sur ComboFix qui se trouve sur votre bureau,
Il va vous poser une question, réponds yes (touche y) puis attendez que ComboFix ait terminé
Procédure de désinfection virale

Finir le nettoyage

Vous êtes maintenant de retour en mode normal. Si tout s'est bien passé, vous devirez noter une acceleration de l'ordinateur.

Pour finir le nettoyage, vous pouvez :

Installez Antivir l'antivirus gratuit le plus performent.
Telecharger et Installez Antivir - Désinstallez votre antivirus et installez Antivir qui est l'antivirus gratuit le plus performent (voir la note ci-dessous).

Note : On a certainement dû vous conseiller Avast! qui est malheureusent le plus courant... on a certainement dû vous dire dans votre entourage que c'est un très bon antivirus. Pour ma part, je peux vous dire avec certitude qu'en effectuant des désinfections tous les jours.. qu'il ne détecte généralement très peu des nouvelles infections... d'ailleurs si vous êtes ici... et que vous avez Avast! c'est bien la preuve qu'il ne vous protège pas. 
Ce site WEB ne conseille pas l'utilisation d'Avast! mais plutôt antivir, voir les explications sur les pages suivantes :
Désactiver et réactiver la restauration du système
Windows 2000 n'a pas de programmes de restauration du système, si vous êtes sous Windows 2000, vous n'êtes pas concernés par ce paragraphe.

Windows créé, de temps en temps et lors de l'installation de nouvelles applications, des points de restaurations. Si votre système était infecté lors de la création du point de restauration, des fichiers infectieux sont alors copiés dans ces points.

Les antivirus détectent souvent ces fichiers infectieux mais ont extremment de mal à les supprimer, les fichiers infectieux contenus dans les points de restauration se trouve dans les dossiers :  C:\System Volume Information\

La solution pour supprimer les fichiers infectieux contenus dans des points de restauration et de désactiver puis de réactiver la restauration du système.
Lors de la désactivation, tous les points de restauration sont supprimés, ainsi les fichiers infectieux le sont aussi.

Cette opération est à effectuer seulement si votre système est stable, en effet, une fois les points de restauration supprimés, vous ne pourrez plus faire de restauration du sytème à une date où votre système était stable.

Voici comment désactiver puis réactiver la restauration du système pour Windows XP

Et ensuite ?

Rapporter votre infection pour condamner les auteurs

Rapporter son infection sur MalwareComplaints

Vous pouvez rapporter votre infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :
  • Voir les règles de Malware-Complaints
  • Enregistrez sur le forum à partir du bouton register en haut :
    • Si vous avez plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
    • Si vous avez moins, clicquez sur : I Agree to these terms and am under 13 years of age
Si le malware que vous avez eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

Pour poster un message, clics sur le bouton "post reply" et remplir les informations - NE PAS CREER UN SUJET avec le bouton New Topic.

Pour toutes aides pour poster ton message, tu peux consulter ce lien : http://www.malekal.com/malwarecomplaints.html
Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.
Modifier les mots de passe
La majorité des infections à l'heure actuelle intègre des keyloggers (enregistreur de frappes claviers) ou execute des programmes qui recherche les mots de passes de vos sites WEB.
Il est très fortemment conseillé de modifier les mots de passes de TOUS vos sites WEB surtout si vous consultez le sites de votre banque, eBay, Paypal etc...
J'ai été infecté car mon antivirus est mauvais?

La question qui revient le plus souvent après une infecton est "quel le meilleur antivirus" - "Mes protections sont-elles bonnes?".
Vous cherchez l'ultime antivirus qui permet de protéger son système ?
Cet antivirus n'existe pas puisqu'un antivirus est un programme est donc imparfait.. De plus, les éditeurs de sécurités sont vraiment à la bourre par rapport aux malwares (notamment dans le domaine des rootkits).

Il suffit d'aller voir dans la partie sécurité.. la majorité ont un antivirus (souvent différents ce qui montre bien qu'aucun ne protège à 100%).. Même si Avast revient le plus souvent est Avast! car gratuit.
Si on fait un sondage "quel est le meilleur antivirus".. je suis sûr qu'Avast! apparaîtra dans les réponses.. (surement au côté de Kaspersky).
Il y a comme une contradiction non ?

Tout ça pour dire qu'une fois infecté, arretez de mettre les erreurs sur le dos de votre antivirus, posez-vous plutôt la question "pourquoi j'ai été infecté?" et "comment?"
Changez d'antivirus n'est pas une solution.. si vous faites "n'importe quoi" sur internet.
De même, faire trop confiance à son antivirus pour faire "n'importe quoi" est aussi une grosse erreur.

La solution pour ne plus avoir d'infection est d'avoir de bonnes habitudes sur internet, pas de cracks, logiciels téléchargés sur emule, installer le premier programme qu'on vous propose, ouvrir le fichier qu'on vous propose sans savoir ce que c'est et d'où ça vient etc etc...

Je vous invite à consulter ce lien pour sécuriser et connaître les menaces sur internet : Sécuriser son ordinateur et connaître les menaces

Liens

Sécuriser son ordinateur et connaître les menaces
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)
Les outils de suppressions de Spywares/Malwares spécifiques
Autres tutorials anti-spywares

Retour à la page d'accueil