infections PDF

Projet AntiMalware

Procédure standard de désinfection de virus 

Ce tutorial a pour but de vous donner les moyens de désinfecter votre ordinateur de manière autonome. Cette procédure est destiné au ordinateur ayant des multiples infections.

Je vous conseille de lire attentivementchaque étape.. sinon vous risquez d'endommager votre ordinateur.

Pour les plus pros d'entre-vous, vous pouvez aussi désinfecter votre ordinateur depuis un CD-Live, ce tutorial vous guide dans la création de ce CD de désinfection : Désinfecter son ordinateur avec un CD Live

Sommaire

  1. Procédure standard de désinfection de virus 
    1. Sommaire
    2. Introduction
    3. Identifier son système et sauvegarder ses données
      1. Vérifier si le système est à jour
      2. Sauvegarder les données
    4. Préparer la désinfection
    5. Redémarrer en mode sans échec
    6. Et si on nettoyer tout cela ?
      1. CCleaner - Nettoyer les fichiers inutiles.
      2. Clean
      3. Malwarebyte's Anti-Malware
      4. ZoneAlarm
      5. ComboFix
    7. Finir le nettoyage
      1. Installez Antivir l'antivirus gratuit le plus performent.
      2. Désactiver et réactiver la restauration du système
    8. Et ensuite ?
      1. Modifier les mots de passe
      2. J'ai été infecté car mon antivirus est mauvais?
    9. Liens

Introduction

Ce tutorial est destiné aux ordinateus très infectés (plusieurs infections différentes type trojan/backdoor) et très ralenti.
Cette procédure est destinée au Windows fonctionnant sous Windows 2000 et XP.

La procédure étant assez longue, si votre antivirus ne détecte qu'un fichier infectieux, je vous conseille plutôt de vous rendre dans  la partie Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..) Vous pouvez aussi utiliser le bouton rechercher sur site dans la barre horizontale en tappant le nom du fichier infecté ou le nom du virus détecté pour trouver plus facilement la procédure de désinfection type à cette infection.

Ce tutorial n'est PAS destiné aux ordinateurs infectés par des adwares, recevant des popups de publicités ou autres.. Si vous êtes dans ce cas, suivez les procédures de la pageSupprimer les popup intempestives. Cette procédure aura très peu d'incidence sur les infections de types adwares.

Attention : Cette procédure ne garantie pas que la totalité de votre système sera désinfecté.. notamment, il se peut que vous soyez infecté par un rootkit qui sont malheureusement de plus en plus en vogue. De plus, même si les symptômes d'une infection (ralentissement etc..), cela ne garanti pas que votre système est sain.

Dans la mesure du possible, je vous conseille de faire valider la désinfection de votre ordinateur sur le forum du site.

Identifier son système et sauvegarder ses données

Vérifier si le système est à jour
Avant de se lancer dans le combat, il convient d'effectuer deux opérations.
La première consiste à vérifier si votre système est à jour, pourquoi ? tout simplement parce que si vous suivez cette procédure de désinfection et que vous supprimez la totalité des infections présentes sur votre ordinateur.. le simple faite que votre ordinateur ne soit pas à jour.. en vous reconnectant, vous risquez de réinfecter celui-ci.
Il est donc important que votre système soit à jour avant que vous commenciez à la procédure.

Pour vérifier cela :
  • Faites un clic droit sur l'icone Poste de travail puis dans le menu déroulant, choisissez propriétés.
  • La fenêtre ci-dessous s'ouvre alors.
  • Vous devez vérifier que le mot Service Pack apparaît.
Si les mots Service Pack 2 sont présents, votre système est à jour.
Si ce dernier est présent, si vous avez Service Pack 1a votre système n'est pas à jour mais protégé, vous pourrez le mettre à jour après avoir désinfecter celui-ci.
Si aucun de ces mots n'apparaît, votre ordinateur n'est pas à jour.
Vous devez installer le Service pack 1a, ce dernier est téléchargeable depuis ce lien. Faites le c'est très important.

Pour les ordinateurs sous Windows 2000, vous devez avoir au moins installé le service pack 4, Celui-ci est disponible à partir de ce lien.

Pour ceux qui auraient une version crackée de Windows, bonnes nouvelles :
  • Je pense que vous êtes au courant... mais Le piratage est illégal
  • Microsoft bloque les mises à jour pour les systèmes Windows non authentique, vous ne pourrez donc pas mettre votre Windows à jour, ce dernier restera donc vulnérable sur internet.
    • Si votre firewall s'arrete et que vous êtes connecté via un modem.. pouf infection.
    • Si vous utilisez Internet Explorer qui n'est donc pas à jour.. la simple visite d'un site pourri et c'est l'infection comme vous pouvez le voir sur cet exemple : Le danger des cracks !

Procédure de désinfection des virus
Sauvegarder les données
Désinfecter un système peut l'endommager, ce dernier peut ne plus démarrer.

Il est très vivement conseillé d'effectuer une sauvegarde de vos données dans le cas où vous devez réinstaller Windows.
Si votre système est sur la partition C et vos données sur une autre partition, vous n'avez pas besoin d'effectuer de sauvegarde.
Si ce n'est pas le cas, graver vos données ou copier les sur un disque dur externe/clefs USB.

Dans le cas où votre système est planté.. et que vous n'avez pas fait de sauvegardes.. vous pouvez suivre ce tutorial : Récuperer ses données à partir d'un CD Live GNU/Linux

La majorité des infections à l'heure actuelle intègre des keyloggers (enregistreur de frappes claviers) ou execute des programmes qui recherche les mots de passes de vos sites WEB.

Il est très fortemment conseillé de modifier les mots de passes de TOUS vos sites WEB surtout si vous consultez le sites de votre banque, eBay, Paypal etc... Vous pouvez effectuer l'opération depuis une machine propre et non infectée ou le faire quand votre machine sera complètement désinfectée.

Préparer la désinfection

Votre système est à jour (au moins le service pack 1a).
Vous avez sauvegarder vos données...

Nous allons maintenant préparer la désinfection, à savoir télécharger les programmes neccessaires à la désinfection.. dans la mesure du possible, je vous adjoinderai à chaque fois un lien explicatif sur le fonctionnement des programmes.N'executez aucun de ces programmes pour le moment, contentez-vous de les télécharger
Placez ces programmes sur votre bureau :
  • CCleaner (prendre la dernière version donc avec les chiffres les plus élevés dans le cadre vert à droite) - CCleaner permet de nettoyer les fichiers temporaires, le cache internet etc.. - Tutorial CCleaner
  • Télécharger Malwarebyte's AntiMalware - Malwarebyte's est un antimalware très performent qui supprime de nombreuses infections.
  • Telechargez Combofix de SuBs - Placez le sur votre bureau et pas ailleurs - Combofix est un programme qui supprime des trojans/backdoor connues et rootkits
  • ZoneAlarm - ZoneAlarm est un pare-feu qui filtre les connexion afin de bloquer les intrusions ou les infections par vers - Tutorial et configuration de ZoneAlarm
Vous devez donc vous retrouver sur votre bureau avec les icônes ci-dessous.
Si c'est le cas, nous pouvons commencer la désinfection !
Retroussez vos maches !
Procédure de désinfection virale

Redémarrer en mode sans échec

Toute la procédure va se dérouler en mode sans échec. Le mode sans échec est un mode restreint de Windows où seulement le minimum vital est mis en fonction.
Les infections (sauf les rootkits) ne seront donc pas mis en fonction, ceci permet un nettoyage optimal par les antivirus et cleaner.

Note 1 : Dans le cas où le mode sans échec est innaccessible (redémarrage au moment d'accéder au mode sans échec), faites les manipulations en mode normal.

Note 2 :  Il est possible que internet ne soit pas disponible en mode sans échec, si vous n'avez pas un second ordinateur pour consulter ce guide, je vous conseille de l'imprimer ainsi que les tutorials annexes afin de pouvoir poursuivre la procédure.

Vous pouvez suivre ce guide pour redémarrer en mode sans échec : Guide pour redémarrer en mode sans échec
Privilégier la méthode avec la touche F8 car par msconfig, vous risquez d'avoir ordinateur qui redémarre en boucle en mode sans échec, à savoir :
  • Redémarrer l'ordinateur
  • Avant la fenêtre avec le logo de Windows, tapotez sur la touche F8
  • Un menu va apparaître, choisissezMode sans échec avec prise en charge du reseau
  • Choisissez votre compte, dans la mesure du possible celui avec lequel vous étiez en mode normal. Si vous ne connaissez pas votre mot de passe, laissez le champs vide et tentez la connexion.

Le bureau est accessible sur un fond noire avec des îcones plus grosses.. avec écrit au quatre coins de l'écran mode sans échec.
Nous ne quitterons maintenant le mode sans échec, une fois le nettoyage terminé, si un programme à la fin de son installation vous propose de redémarrer l'ordinateur, refusez.
Procédure de désinfection virale

Et si on nettoyer tout cela ?

Le nettoyage consiste à passer un par les un les utilitaires.
Ceci peut prendre du temps car eScan et Dr Web Cure-It vont scanner à leurs tours le système au complet.
Dans la mesure du possible et pour une meilleur efficacité, vous devez suivre cette procédure sans interruption à savoir éviter de redémarrer en mode normal.
N'hésitez pas à laisser tourner le scan toute la nuit si cela prend du temps.

CCleaner - Nettoyer les fichiers inutiles.
Vous pouvez consulter le tutorial CCleaner à l'adresse suivante : http://www.malekal.com/verifierProgrammes.php

Vous pouvez nettoyer les fichiers temporaires (qui sont généralement jamais effacé par les applications) et le cache internet.
Généralement les infections copies les droppers (le programme qui installent l'infection sur le système) dans les dossiers temporaires. Vous pouvez donc avoir des restes d'infections dans ces dossiers.

Après avoir installé CCleaner.. cliquez sur l'icône en haut à gauche Nettoyeur.
Puis cliquez en bas à droite sur Lancer le Nettoyage.

Procédure pour supprimer les Trojans/Backdoor
MalwareByte AntiMalware
Scanner votre ordinateur avec Malwarebyte's Anti-Malware
Procédure de désinfection standard

ZoneAlarm
ZoneAlarm est un pare-feu qui permet de filtrer les connexions, notamment les intrusions (souvent des machines infectées par des vers sur internet qui tente d'infecter la votre).
Vous devez installer ZoneAlarm seulement si vous n'avez pas de pare-feu sur votre ordinateur, deux pare-feu installés ne servent à rien à part ralentir votre ordinateur.
Si vous ne savez pas si vous avez de pare-feu installé sur votre ordinateur :
  • Ouvrez le panneau de configuration puis ajout/suppression de programmes
  • Vérifiez dans la liste que le mot firewall n'apparaît pas, ou les pare-feu ci-dessous ne soient pas déjà installés,
  • si c'est le cas il y a de grandes chances qu'un pare-feu soit déjà installé. N'installez pas ZoneAlarm

Les plus courant sont Kerio firewall, Outpost, Sygate Firewall, Ashampoo Firewall
Notez aussi que les suites de sécurités possedent tous un firewall, de même, si vous avez une suite de sécurité, n'installez pas ZoneAlarm.

Pour installer ZoneAlarm.. suivez ce guide : Tutorial et configuration de ZoneAlarm
ComboFix
Pour plus d'aide, se reporter au tutorial officiel ComboFix

Double-clicquez sur ComboFix qui se trouve sur votre bureau,
Il va vous poser une question, réponds yes (touche y) puis attendez que ComboFix ait terminé
Procédure de désinfection virale

Finir le nettoyage

Vous êtes maintenant de retour en mode normal. Si tout s'est bien passé, vous devirez noter une acceleration de l'ordinateur.

Pour finir le nettoyage, vous pouvez :

Pour les infections par médias amovibles....

Si votre infection provient de médias amovibles (Clef USB, disque dur externe etc..), vous devez les nettoyer, pour cela utilisez FindyKill : Voir le tutorial FindyKill

Prévenez vos amis si vous avez utilisé votre clef/disque USB chez eux (ou les leurs sur votre PC infecté) car ils peuvent, à leur tour, avoir infecté leur PC.

Installez Antivir l'antivirus gratuit le plus performent.
Telecharger et Installez Antivir - Désinstallez votre antivirus et installez Antivir qui est l'antivirus gratuit le plus performent (voir la note ci-dessous).

Note : On a certainement dû vous conseiller Avast! qui est malheureusent le plus courant... on a certainement dû vous dire dans votre entourage que c'est un très bon antivirus. Pour ma part, je peux vous dire avec certitude qu'en effectuant des désinfections tous les jours.. qu'il ne détecte généralement très peu des nouvelles infections... d'ailleurs si vous êtes ici... et que vous avez Avast! c'est bien la preuve qu'il ne vous protège pas. 
Ce site WEB ne conseille pas l'utilisation d'Avast! mais plutôt antivir, voir les explications sur les pages suivantes :
Désactiver et réactiver la restauration du système
Windows 2000 n'a pas de programmes de restauration du système, si vous êtes sous Windows 2000, vous n'êtes pas concernés par ce paragraphe.

Windows créé, de temps en temps et lors de l'installation de nouvelles applications, des points de restaurations. Si votre système était infecté lors de la création du point de restauration, des fichiers infectieux sont alors copiés dans ces points.

Les antivirus détectent souvent ces fichiers infectieux mais ont extremment de mal à les supprimer, les fichiers infectieux contenus dans les points de restauration se trouve dans les dossiers :  C:\System Volume Information\

La solution pour supprimer les fichiers infectieux contenus dans des points de restauration et de désactiver puis de réactiver la restauration du système.
Lors de la désactivation, tous les points de restauration sont supprimés, ainsi les fichiers infectieux le sont aussi.

Cette opération est à effectuer seulement si votre système est stable, en effet, une fois les points de restauration supprimés, vous ne pourrez plus faire de restauration du sytème à une date où votre système était stable.

Voici comment désactiver puis réactiver la restauration du système pour Windows XP

Et ensuite ?

Modifier les mots de passe
La majorité des infections à l'heure actuelle intègre des keyloggers (enregistreur de frappes claviers) ou execute des programmes qui recherche les mots de passes de vos sites WEB.
Il est très fortemment conseillé de modifier les mots de passes de TOUS vos sites WEB surtout si vous consultez le sites de votre banque, eBay, Paypal etc...
J'ai été infecté car mon antivirus est mauvais?

La question qui revient le plus souvent après une infecton est "quel le meilleur antivirus" - "Mes protections sont-elles bonnes?".
Vous cherchez l'ultime antivirus qui permet de protéger son système ?
Cet antivirus n'existe pas puisqu'un antivirus est un programme est donc imparfait.. De plus, les éditeurs de sécurités sont vraiment à la bourre par rapport aux malwares (notamment dans le domaine des rootkits).

Il suffit d'aller voir dans la partie sécurité.. la majorité ont un antivirus (souvent différents ce qui montre bien qu'aucun ne protège à 100%).. Même si Avast revient le plus souvent est Avast! car gratuit.

Si on fait un sondage "quel est le meilleur antivirus".. je suis sûr qu'Avast! apparaîtra dans les réponses.. (surement au côté de Kaspersky).
Il y a comme une contradiction non ?

Tout ça pour dire qu'une fois infecté, arretez de mettre les erreurs sur le dos de votre antivirus, posez-vous plutôt la question "pourquoi j'ai été infecté?" et "comment?"
Changez d'antivirus n'est pas une solution.. si vous faites "n'importe quoi" sur internet.
De même, faire trop confiance à son antivirus pour faire "n'importe quoi" est aussi une grosse erreur.

La solution pour ne plus avoir d'infection est d'avoir de bonnes habitudes sur internet, pas de cracks, logiciels téléchargés sur emule, installer le premier programme qu'on vous propose, ouvrir le fichier qu'on vous propose sans savoir ce que c'est et d'où ça vient etc etc...

Maintenez votre ordinateur à jour, surfer avec Internet Explorer en version 6, c'est du suicide.
Surfer avec un navigateur et avoir des logiciels non à jour peut permettre l'infection de votre PC.

Voir les pages :

Vous pouvez faire un scan de vulnérabilités afin de mettre vos programmes et systèmes à jour.
Je vous invite à consulter ce lien pour sécuriser et connaître les menaces sur internet : Sécuriser son ordinateur et connaître les menaces

Liens

Sécuriser son ordinateur et connaître les menaces
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)
Les outils de suppressions de Spywares/Malwares spécifiques
Autres tutorials anti-spywares

Retour à la page d'accueil