Comment vérifier si ordinateur a été hacké ou piraté ?

malekalmorte

Création :

12 novembre 2010

Modification :

Comment vérifier si son ordinateur a été hacké ou piraté ?
Vous souhaitez savoir si un Trojan, logiciel espion ou virus est présent dans votre PC en Windows ?
Est-ce que Windows est infecté par un virus, logiciels malveillants ou trojan ?

Ce dossier donne quelques explications sur les éléments à vérifier et bonnes attitudes à avoir face à ces menaces informatiques.
Il s’agit d’un guide complet avec toutes les astuces pour détecter et trouver un spyware sur son PC.

Comment savoir par soi-même si son PC a été hacké

Faire une analyse antivirus

Cette approche ne sera pas trop détaillée, il s’agit d’une indication générique que l’on retrouve sur la plupart des tutos de vérification de virus.

Des scans antivirus.

L’autre approche est de surveiller Windows, bien sûr, cela nécessite des connaissances.
Il existe toutefois des programmes assez pratiques qui permettent d’effectuer quelques analyses et produire des rapports.

La limite de cette méthode est la capacité à l’antivirus de détecter la menace, si trop sophistiquée, il peut passer à côté.
L’autre limite est votre connaissance et comment vous allez interpréter le rapport de scan antivirus.
Là aussi, des éléments isolés peuvent être détectés… cela ne veut pas forcément signifier que Windows est infecté.

Process Explorer : les virus en processus

Process Explorer est un gestionnaire de tâches avancé qui permet de surveiller les processus en cours d’exécution.
Cet utilitaire offre surtout la possibilité de faire analyser ses processus en cours d’exécution sur VirusTotal.com (un site qui permet de faire analyser un fichier à une trentaine d’antivirus).

  • Décompressez le ZIP dans l’emplacement de votre choix
  • Sur l’exécutable de Process Explorer, faites un clic droit puis « Propriétés. »
  • Cliquez ensuite sur le bouton « Avancé » en bas à droite puis cochez l’option qui lance le programme en tant qu’Administrateur. Cette action est obligatoire afin de pouvoir lister et accéder à l’ensemble des processus.
  • Sur Process Explorer, cliquez sur le menu « Option« , « VirusTotal.com » et « Check VirusTotal.com« 
Comment vérifier si ordinateur a été hacké ou piraté avec Process Explorer
  • Les conditions d’utilisation du service VirusTotal vont s’ouvrir.
  • Cliquez sur « Yes » sur Process Explorer pour les accepter.
Comment vérifier si ordinateur a été hacké ou piraté avec Process Explorer
  • Ci-dessous, un exemple d’une capture d’écran de Process Explorer.
  • La détection est de 0 sur tous les processus, la machine n’est pas infectée
  • En cliquant sur le score de détection, vous avez l’analyse sur votre navigateur.
Comment vérifier si ordinateur a été hacké ou piraté avec Process Explorer

Ci-dessous, un exemple d’une infection d’adwares (Abengine / Shopperz)
Rapidement, on voit les processus malicieux affichés.
Les détections sont nombreuses, Windows est donc infecté 🙁

« WinScp » est à 2 de détection alors qu’il n’est pas malicieux.
Un probable faux-positif, c’est ainsi, tout est difficile.

Comment vérifier si ordinateur a été hacké ou piraté avec Process Explorer

La limitation de cette vérification sont les infections de type fichier DLL qui s’injecte dans un processus système.
Le Trojan Bedep fonctionne de cette manière.
Le fichier DLL ne sera pas analysée puisque ce n’est pas un processus apparaît.

Autorun : trouver les spywares au démarrage de Windows

Autorun qui est un logiciel qui permet de vérifier les points de chargement de Windows, c’est-à-dire les emplacements systèmes qui permettent à un logiciel de se lancer au démarrage de Windows.
Les logiciels malveillants utilisent ces points de chargement pour rester résident et se charger au démarrage de Windows pour se rendre actif.

Ce logiciel gratuit énumère tous les points de chargements et programmes de Windows.
Le but est d’y déceler des programmes malveillants. De plus, il donne aussi la possibilité de soumettre les éléments sur VirusTotal pour les identifier.
Si vous en avez, vous pouvez décocher l’élément afin de le désactiver de Windows.

  • Téléchargez Autoruns depuis ce lien :
  • Décompressez le fichier ZIP dans un emplacement de votre choix, par exemple, avec 7-zip
  • Puis faites un clic droit sur Autoruns64.exe et « Exécutez en tant qu’administrateur« 
  • Pour activer, une analyse VirusTotal des éléments listés, cliquez sur le menu Options > Scan Options.
    Cochez alors « Check VirusTotal.com » et acceptez les conditions d’utilisation. Vous pouvez vérifier si les fichiers sont signés numériquement (plus d’informations : Signature numérique des fichiers sur Windows et sécurité).

Pour aider, il existe un tuto sur le site, ce dernier explique comment activer l’analyse VirusTotal : Tutoriel Autoruns

Ci-dessous, un exemple d’élément malicieux détecté dans Autoruns, les scans VirusTotal sont en rouges.

Comment vérifier si ordinateur a été hacké ou piraté avec Autorun

Vérifier les connexions réseaux

Les trojan communiquent avec des serveurs et émettent des connexions sortantes.
Glasswire est une application très pratique pour traquer les connexions.
Vous pouvez aussi lire ce tuto : Lister les connexions réseau sur Windows

Le site propose un tutoriel pour ce logiciel : Tutoriel Glasswire

Vérifier les connexions anormales et malveillantes avec Glasswire

Le moniteur de ressources système de Windows permet aussi de visualiser les connexions par processus Windows.
Là aussi quelques limites, si le Trojan est sophistiqué et utilise un processus système, vous risquez d’avoir des difficultés pour faire le tri entre les connexions légitimes et malveillantes.
De plus, vous n’aurez pas le détail sur les connexions d’application (notamment les connexions HTTP), vous ne verrez que les adresses IP sortantes et les ports.

Plus d’informations de côté là : La notion de port ouvert et la sécurité.

Vérifier si Windows a été piraté en vidéo

Voici une illustration de ce tuto en vidéo, avec un trojan actif :

Comment savoir si j’ai été hacké sur le forum

FRST est un programme qui analyse l’ordinateur, énumère tous les points de chargement et les processus en cours d’exécution.
C’est donc un programme idéal pour vérifier l’état son ordinateur.
Vous pouvez soumettre ces rapports sur le forum pour une aide gratuite.

Voici comment faire :

A propros de malekalmorte

malekal-site-logo-150

Passionné par l'informatique depuis très jeune, j'aide les internautes sur les forums depuis 2005 pour résoudre leurs tracas informatiques.
Je vous propose par la même occasion ce site avec de nombreux tutoriels pour vous aider aussi à résoudre de manière autonome les problèmes informatiques du quotidien.