Désinfecter son ordinateur avec un CD Live Windows : Ultimate Boot CD

Ce tutorial va vous guider dans la création d'un CD Live Windows afin de nettoyer votre ordinateur dans le cas où celui-ci est infecté.

Un CD Live Windows permet de démarrer sur Windows depuis un CD, les avantages sont :

Si votre Windows est planté, vous pouvez accéder à votre disques dur pour par exemple récupérer vos données, vous pouvez vous reporter à ce tutorial : Récuperer ses données à partir d'un CD Live GNU/Linux
Effectuer des Diagnostics matériels (disque dur, mémoire etc..), se reporter à la page : Diagnostiquer les problèmes matériels

Dans ce tutorial, nous allons voir commencer désinfecter notre ordinateur... notamment pour les infections :

Impossibilité de démarrer en mode sans échec suite à une infection (par exemple le vers W32.Beagle.KF/Trojan.Tooso.R supprime certaines clefs du registre afin de rendre le redémarrage en mode sans échec impossible).
Supprimer des infections qui se chargent même en mode sans échec comme les rootkit kernel-mode, les infections Winlogon comme Look2me ou Virtumonde

Lorsque vous démarrez sur le CD Live, Aucun élément de votre disque dur n'est affecté.
Tous les éléments sont pris depuis le CD Live et chargés en mémoire. Un Ramdisk (disque dur chargé en mémoire) est créé comme partition système.
Il est alors beaucoup plus facile de nettoyer son PC infecté. Antivir Rescue System utilise aussi ce principe.

Ce tutorial est basé sur le Live CD Ultimate Boot CD : http://www.ubcd4win.com/
Le CD est basé sur l'environnement Bart PE : http://severinterrier.free.fr/Boot/PE-Builder/

UBCD4Win fourni une multitude d'utilitaires de diagnotics, récupération, gravure etc... mais aussi des outils anti-malwares tels que :

Antivirus et anti-malwares

AntiSpywares

A Squared Free
AdAware
CWShredder
EzPCFix
Hijack This
Rootkitty
SpyBot

Vous trouverez une liste complète des utilitaires fournis dans le CDLive à cette adresse : http://www.ubcd4win.com/contents.htm

Sommaire

Désinfecter son ordinateur avec un CD Live Windows : Ultimate Boot CD

Pré-Requis

Pour créer votre CD Live UBCD4Win.. scanner depuis votre ordinateur, Il est necessaire d'avoir :

Un CD/DVD vierge
Un graveur de CD/DVD
Une connexion internet
Les fichiers d'installation de Windows (depuis un CD d'installation Windows ou présents sur votre disque dur)
de l'espace disque, prévoyez au moins 1 Giga.
Du café et de la patience !

Création du CD Live

Installation d'Ultimate Boot CD

Nous allons commencer par créer un répertoire.. dans ce tutorial, nous crérons le dossiers C:\ucd
Si vous ne possedez pas assez de places sur votre partition C, rien ne vous empèche de créer le dossier dans une autre partition !
Attention ! Evitez de créer des dossiers avec des espaces (donc éviter de tout mettre dans votre fourtout favoris soit donc votre Bureau ou Mes Documents)

Ouvez le Poste de travail puis Disque C.
Cliquez sur le menu Fichiers en haut
Cliquez sur nouveau puis nouveau dossiers
Nommez le dossier UCD

Il convient de télécharger le programme de création du CD UBCD4Win que nous placerons dans notre nouveau dossier C:\UCD.
Le programme de création fait environ 173 Mo, il se nomme UBCD4WinV303.exe
Vous pouvez le télécharger depuis les serveurs mirroirs de cette page : http://www.ubcd4win.com/downloads.htm
Vérifiez à bien prendre la dernière version !

Vous obtenez donc le fichier C:\UCD\UBCD4WinV303.exe
Double-cliquez dessus.
Vous obtenez alors la fenêtre ci-dessous :

Nettoyer/Désinfecter son ordinateur avec CD Live

Dans le champs Destination folder, saisissez : C:\UCD
Cliquez sur le bouton en bas Install pour lancer la décompression

La décompression s'effectue... Cela peut prendre plusieurs minutes...

Puis une vérification des fichiers décompressés s'effectue... Cela peut prendre aussi quelques minutes

Dans le cas où des fichiers sont corrompus ou si vous avez décompressé les fichiers dans un dossier avec des espaces, vous obtenez la fenêtre ci-dessous.
Dans ce cas, je vous conseil :

de vérifier l'espace disque libre
de retélécharger le fichier .exe
de décompresser dans un dossier sans espace

Si tout est OK, vous obtenez la fenêtre ci-dessous :

A l'issu de cette étape, Ultimate Boot CD est prêt à l'emploi !

Création de l'image (ISO) du CD Live

Yosh !! Nous pouvons maintenant créer l'image du CD Live.

IMPORTANT : Avant tout.. si vous possedez le CD de Windows, insérez dans le lecteur !

Ouvrez le dossier UCD, pour cela :
Ouvrez le poste de travail
Double-cliquez sur le dossier UCD.
Dans ce dossier, double-cliquez sur le fichier UBCD4WinBuilder

UBCD4WinBuilder se lance...
Vous devez ensuite accepter la licence d'utilisation UBCD4Win PE Builder.
Pour cela, cliquez sur le bouton J'accepte dans la fenêtre ci-dessous

UBCD4Win PE Builder vous demande si vous désirez rechercher les fichiers d'installation de Windows.
Cliquez sur Oui et laissez la recherche s'effectuer.

Si vous possedez le CD Windows et que les fichiers ont été trouvés.. Le champs Source doit s'être renseigné par le chemin de votre lecteur CD-ROM
En cliquant sur le menu Source puis Vérifier.. vous pouvez valider le chemin Source.

Il convient ensuite d'effectuer des manipulations afin de ne pas obtenir le message Expiration date for this version has been reached au lancement du CD Live qui empechera l'accès à Windows.

Voir la discussion : http://forum.malekal.com/sutra15759.php#15759
Il existe deux manières pour parer à ce message

Clicquer sur le bouton Plugins en bas

Cliquez en bas sur Config

Supprimer les dates dans les champs
Cliquez sur Apply.

(merci à tornado pour les captures)

Cliquez sur le bouotn Compiler afin de lancer la création de l'image.
La création de l'image débute... ceci peut prendre plusieurs minutes...

mkisofs créé ensuite le fichier ISO

Lorsque la création du fichier ISO est terminée, vous devez obtenir le message ISO successfully created et Compilation de l'image ISO terminée
Si vous avez un éventuel message d'erreur, ne poursuivez pas le tutorial et surtout en gravez pas le fichier ISO celui-ci est certainement corrompu.

Vérifiez l'espace libre et recommencez la création de l'image

Graver l'image ISO

Vous devez ensuite graver l'image C:\UCD\UBCD4WinBuilder.iso

Attention, ne graver pas le fichier comme CD de données sinon cela ne fonctionnera pas.
Si vous n'avez pas de logiciel de gravure, vous pouvez utiliser : LC ISO Creator

Sur Nero, vous devez bien choisir Graver une image sur disque (voir capture ci-dessous)
Voici quelques liens explicatifs qui vous guideront pour graver le CD image :

Désinfecter son ordinateur avec le CD Live

Votre image est enfin gravée !
Vous pouvez donc démarrer sur votre CD Live.

Insérez le CD Live dans le lecteur puis redémarrez l'ordinateur.
Vous devez obtenir la fenêtre ci-dessous

Voici un descriptif des options :

Boot from Drive C : permet de démarrer depuis votre disque dur
Launch "The Ultimate Boot CD for Windows" démarre Windows depuis le CD Live.
REBOOT redémarre l'ordinateur
... Insert your boot options here .... permet d'insérer des options de démarrage.
Darik's Boot And Nuke v.1.0.6 - Attenion - Cela Wipe les données du disque. Les données seront PERDUES ! Aucun logiciel ne sera capable de les retrouver. Ceci est à utiliser si vous devez donner votre disque et que vous ne voulez pas que des personnes retrouvent vos données. A utiliser aussi, si vous n'arrivez plus à formater votre disque dur.
GOBACK Removal Tool supprime Norton Goback
Memtest86 permet d'effectuer un test RAM à partir de Memtest86 - voir tutorial Memtest86
NTFS for DOS permet d'accéder à des partitions NTFS depuis une console DOS
Offline NT Password & Registry Editor permet de retrouver votre mot de passe administrateur, si vous l'avez perdu...
Windows(tm) Recovery Console permet de démarrer sur la console de récupération.

Pour démarrer sur le CD Live, il convient donc de choisir l'option Launch "The Ultimate Boot CD for Windows"
Appuyez ensuite sur la touche entrée.

Vous devez ensuite obtenir une barre de progression puis le logo Windows.
Le fond bleu du bureau doit ensuite apparaître.

Une petite fenêtre similaire à celle ci-dessous doit apparaître, "dépéchez vous" de cocher en bas à gauche Expertmode, vous n'avez que quelques secondes.
La fenêtre ci-dessous s'ouvre, celle-ci permet de configurer certains éléments comme :

Dans l'onglet en haut Main-Shell

Le shell (l'aspect du bureau).. Laissez sur Ubcd4win-auto
La langue du clavier à partir du champs Keyboard layaout, choisissez French
La résolution de l'écran à partir du Screen resolution, je vous conseil 1024x768.. si la résolution est trop petit, il se peut que la partie basse ou haute de l'écran soit tronquée !!

Attention : vous devez cliquez sur les boutons Apply en face des options pour que les changements soient pis en compte !

En haut dans l'onglet RamDisk/File la taille du RamDisk qui fera office de partition système.
Attention, la taille par défaut est de 2Mo. Vous ne pourrez donc pas faire grand chose...
Si vous comptez utiliser Avira et Sysclean.. ces derniers sont assez gourmands en taille disque..
Je vous conseil donc de prendre au moins 96Mo.

Attention : vous devez cliquez sur les boutons Apply en face des options pour que les changements soient pis en compte !

Re-cliquez sur l'onglet Main-Shell puis sur le bouton Start Shell pour accéder au bureau.
Au démarrage... Windows détecte les périphériques tels que votre carte réseau ou votre modem.
Dans la capture ci-dessous, c'est la carte réseau qui est détectée... il convient de configurer celle-ci afin de pouvoir accéder à internet (très important pour les mises à jour de définition virales). Dans ce tutorial.. nous allons voir la configuration d'une carte réseau avec un accès routeur.. dans le cas où vous vous connectez via un modem ce dernier devrait être détecté.
Windows vous demande si vous désirez activer la carte réseau, répondez par Oui.

Vous devez choisir si vous désirez activer le DHCP ou configurer manuellement.
Je vous conseil de choisir DHCP.. la configuration du réseau se fera automatiquement via le serveur DHCP (en règle général, votre routeur/box).

La carte réseau s'active..

Les options de configuration s'ouvrent alors...
Laissez telles quelles.. surtout l'option Obtain an IP address automatically afin que votre carte réseau reçoivent une adresse IP via votre routeur/box.

Windows est maintenant prêt à l'emploi...
Vous retrouvez un bure similaire à celui que vous avez habituellement.

Les applications se démarrent depuis le menu Démarrer / Programmes.
Vous devez y trouver Antivirus Tools avec les Antivirus et Anti-Malwares
Les Anti-Spywares se trouvent dans le dossier Malware Tools

Un peu de théorie

Afin de lancer un programme... je vous conseil de lire ce qui suit.
Double-cliquez sur le poste de travail et regarder les disques, vous devez avoir :

B: RAM Disk
C: (Disque Local) - Local Disk
Peut-être aussi D: et E:
X: (CD-Rom) CD Drive
et peut-être un autre CD-Rom si vous avez plusieurs lecteurs.

La partition principale n'est plus le disque C mais le Ram Disk E:

Etant donné que votre partition est un RAM Disk (tout est en mémoire).. A chaque fois, que vous allez arrêter le Windows du CD Live toutes les configurations et programmes seront perdus.

Lorsque vous lancez un programme.. Le CD Live charge et installe les programmes depuis le CD (X:\)
Cela necessite un RAM Disk assez volumineux pour acceuillir le programme puisque par exemple Antivir necessite environ 50Mo.

Je vous conseil, surtout si vous comptez enchaîner les scan avec différents programmes de vérifier de temps en temps l'espace libre.
Voir de supprimer le logiciel après chaque scan.
Il suffit pour cela de vous rendre sur le disque B et de supprimer tout bettement le dossier par exemple : B:\AV7PE B:\a2free B:\aadware etc..

Nettoyer son ordinateur avec le CD Live

Nous allons voir comment nettoyer son ordinateur avec les programmes fournis dans le CD Live.
Certains programmes necessitent des manipulations particulières pour fonctionner, celles-ci seront décrites ici.
Tous les programmes de sécurités fournis sur le CD ne seront pas abordés, seuls les programmes principaux le seront.. de plus de manières assez succints puisqu'ils existent pour chacun d'eux un tutorial sur le site dans le menu de gauche Aides Logiciels.

Je vous conseil :

Dans le cas d'une infection type Backdoor / Trojan de privilégier les antivirus et de préférences Antivir et Dr Web CureIt
Dans le cas d'une infection Adwares/Spywares (popup de pubs etc..) de privlégier les AntiSpyware comme SpytBot, Adwares.

Choses importantes : Avant de commencer un quelconque nettoyage.. votre connexion internet doit être opérationnelle.
En effet, les antivirus/antispywares fournis n'ont pas une définition virales à jour mais datant de plusieurs. Cela ne sert à rien de scanner si vous ne pouvez pas mettre à jour les définitions via internet !!
Dans le cas où vous ne parvenez vraiment pas à faire fonctionner internet depuis le CD Live, je vous conseil

de télécharger depuis Windows les mises à jour virales depuis les sites des éditeurs (si ces derniers ne sont pas accessibles depuis Windows, téléchargez et installez HOSTS Manager / Nettoyer le fichier HOSTS depuis le bouton Clear). Retentez d'accéder aux sites de sécurités.
placez les mises à jour virales dans un dossier de votre disque C
effectuez la mise à jour manuellement depuis ces fichiers sur les antivirus/antispywares

A-Squared Free

A-Squared Free se lance depuis le menu Démarrer / Programmes / Malwares Tools / A Squared Free
Pour une assistance : Tutorial A² Free squared version 2

La copie des fichiers du CD Live vers le Ram Disk s'effectue...

A Squared free vous demande si vous désirez charger les profils utilisateurs.
Sélectionnez votre utilisateur dans la liste et cliquez sur OK.

A-Squared Free vous conseil d'effectuer une mise à jour de la base de définitions virale.
Acceptez en cliquant sur Yes.

La mise à jour s'effectue... ne touchez à rien.

Cliquez dans le menu à gauche sur Scan PC.
Sélectionnez Deep Scan.
Laissez le scan s'effectuer.

A l'issu du scan.. supprimez tous les éléments infectieux détectés.

SpyBot

SpyBot se lance depuis le menu Démarrer / Programmes / Malwares Tools / SpyBot SD
Vous pouvez consulter le tutorial du site à partir de ce lien : Spybot Search & Destroy : anti-spyware gratuit!

Au lancement des popups peuvent s'ouvrir.. cliquez sur OK sur chacune d'elle.
Cliquez sur Search for Updates afin de mettre la définition virale à jour.
La liste des éléments à mettre à jour apparaît sous forme de liste. Faites un clic droit puis Select All
Cliquez en haut sur Download Updates pour lancer la mise à jour.

Une fois la mise à jour terminée.

Cliquez en haut à gauche sur Search & Destroy..
Cliquez en haut sur Check for problems.
Laissez le scan s'effectuer et supprimer tous les éléments détectés.

Adaware SE Personal

Adware SE Personal est disponible depuis le menu Démarrer / Programmes / Malwares Tools / Ad-aware
Tutorial disponible à cette adresse : Ad-Aware SE Personal : un très bon anti-spywares

Au lancement d'Adaware, vous devriez obtenir une popup similiaire à celle-ci.
Adware vous indique que la base de définition virales est vieille de 26 jours... vous devez la mettre à jour.

Cliquez sur OK.

Cliquez sur Connect
Une popup va s'ouvrir vous indiquant qu'une nouvelle mise à jour de la base de définitions virales est disponible
Cliquez sur OK.
La mise à jour va s'installer.. une fois l'installation terminée, cliquez sur Finish

Pour lancer un scan... Cliquez sur le bouton Scan Now à gauche.
Choisissez Perform Full System Scan
Laissez le scan s'effectuer.. supprimer tous les éléments infectieux détectés.

Dr. WEB CureIT!

Vous pouvez lancer Dr. WEB CureIT! depuis le menu démarrer / Programmes / Antivirus Tools / Dr. WEb CureIt!
Le tutorial est disponible depuis ce lien : Tutorial installation et configuration Dr.Web CureIt

Une popup vous indique que le programme n'est pas à jour.
Cliquez sur OK.

Le téléchargement d'une nouvelle version s'effectue..
Téléchargez le fichier cureit.exe
Un menu s'ouvre.. cliquez sur Start.

Un scan va se lancer.. mais sur le Windows CD Live.. Annulez le scan
Cliquez sur (C) Disque Local
puis cliquez à gauche sur le bouton lecture vert.
Laissez le scan s'effectuer et supprimer tous les éléments infectieux détectés.

Antivir

Cliquez sur le menu Démarrer / Programmes / Antivirus Tools / AV7 Personal pour démarrer Antivir.
Le tutorial est disponible depuis ce lien : Tutorial installation et configuration Antivir

La copie vers le RAM Disk s'effectue... puis Antivir démarre.
Si vous regardez la partie Last Update, vous verrez que la définition virale n'est pas à jour (attention les dates sont au format anglophone mm/jj/aaaa)

Etant donné que je n'ai réussi à mettre à jour l'antivirus automatiquement malgré plusieurs essais.. je vous propose de le faire manuellement.. notez que vous pouvez utiliser cette méthode pour télécharger la mise à jour depuis votre Windows ou un poste tiers.

Rendez-vous sur cette page pour télécharger la mise à jour : http://www.avira.com/en/support/vdf_update.html
Cherchez le dernier paragraphe AntiVir incremental VDF update (IVDF) for the version 7
Téléchargez la mise à jour IVDF (Unicode), le lien doit être : http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip
Placez le fichier sur le disque B:\
Sur Antivir, Cliquez sur le menu en haut Update puis Manual Update
Dans la nouvelle fenêtre, sélectionnez le fichier vdf_fusebundle_nt_en.zip puis cliquez sur OK.
Une popup doit s'ouvrir comme celle ci-dessous

Une fois la mise à jour terminée, vous devez obtenir la popup ci-dessous.

Cliquez sur l'onglet Scanner en haut.
Cliquez sur Manual Selection.
Cochez vos disques durs si vous en avez plusieurs (cochez au moins sur le disque C)
Clicquez sur l'icône loupe en haut à gauche en dessous de l'onglet Status

Laissez le scan s'opérer.

Si un élément infectieux est détecté.. une popup similiaire à celle-ci dessous s'ouvre.
Sélectionnez Delete
Cochez l'option en bas Apply slection to all following detections
Cliquez sur OK.

Trend-Micro SysClean

Vous pouvez démarrer Trend-Micro SysClean à partir du menu Démarrer / Programmes / Antivirus Tools / Trend-Micro SysClean
Le tutorial est disponible depuis ce lien : Trend Micro SysClean

La fenêtre ci-dessous doit s'ouvrir.
Choisissez l'option 1 en tappant 1 sur le clavier
Appuyez sur la touche Entrée

Le téléchargement du programme se lance.. une fois terminé.
Vous obtenez la fenêtre ci-dessous.
Cochez en bas Scan selected folder puis tapez dans le champs C:\
Cliquez sur le bouton Scan
Laissez le scan s'effectuer et supprimer tous les éléments détectés.

Autres Liens

Tutorial Windows Ultimate Boot CD

Pour plus d'informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)