Comment vérifier si son ordinateur a été hacké ou piraté ?
Vous souhaitez savoir si un Trojan, logiciel espion ou virus est présent dans votre PC en Windows ?
Est-ce que Windows est infecté par un virus, logiciels malveillants ou trojan ?
Ce dossier donne quelques explications sur les éléments à vérifier et bonnes attitudes à avoir face à ces menaces informatiques.
Il s’agit d’un guide complet avec toutes les astuces pour détecter et trouver un spyware sur son PC.
Table des matières
Comment savoir par soi-même si son PC a été hacké
Faire une analyse antivirus
Cette approche ne sera pas trop détaillée, il s’agit d’une indication générique que l’on retrouve sur la plupart des tutos de vérification de virus.
Des scans antivirus.
- Scanner votre ordinateur avec un antivirus en ligne avec NOD32 ou BitDefender en plus de votre antivirus installé peut donner une indication.
- Un scan Malwarebytes Anti-Malware (MBAM)
L’autre approche est de surveiller Windows, bien sûr, cela nécessite des connaissances.
Il existe toutefois des programmes assez pratiques qui permettent d’effectuer quelques analyses et produire des rapports.
La limite de cette méthode est la capacité à l’antivirus de détecter la menace, si trop sophistiquée, il peut passer à côté.
L’autre limite est votre connaissance et comment vous allez interpréter le rapport de scan antivirus.
Là aussi, des éléments isolés peuvent être détectés… cela ne veut pas forcément signifier que Windows est infecté.
Process Explorer : les virus en processus
Process Explorer est un gestionnaire de tâches avancé qui permet de surveiller les processus en cours d’exécution.
Cet utilitaire offre surtout la possibilité de faire analyser ses processus en cours d’exécution sur VirusTotal.com (un site qui permet de faire analyser un fichier à une trentaine d’antivirus).
- Téléchargez Process Explorer sur votre Bureau :
- Décompressez le ZIP dans l’emplacement de votre choix
- Sur l’exécutable de Process Explorer, faites un clic droit puis « Propriétés. »
- Cliquez ensuite sur le bouton « Avancé » en bas à droite puis cochez l’option qui lance le programme en tant qu’Administrateur. Cette action est obligatoire afin de pouvoir lister et accéder à l’ensemble des processus.
- Sur Process Explorer, cliquez sur le menu « Option« , « VirusTotal.com » et « Check VirusTotal.com«
- Les conditions d’utilisation du service VirusTotal vont s’ouvrir.
- Cliquez sur « Yes » sur Process Explorer pour les accepter.
- Ci-dessous, un exemple d’une capture d’écran de Process Explorer.
- La détection est de 0 sur tous les processus, la machine n’est pas infectée
- En cliquant sur le score de détection, vous avez l’analyse sur votre navigateur.
Ci-dessous, un exemple d’une infection d’adwares (Abengine / Shopperz)
Rapidement, on voit les processus malicieux affichés.
Les détections sont nombreuses, Windows est donc infecté 🙁
« WinScp » est à 2 de détection alors qu’il n’est pas malicieux.
Un probable faux-positif, c’est ainsi, tout est difficile.
La limitation de cette vérification sont les infections de type fichier DLL qui s’injecte dans un processus système.
Le Trojan Bedep fonctionne de cette manière.
Le fichier DLL ne sera pas analysée puisque ce n’est pas un processus apparaît.
Autorun : trouver les spywares au démarrage de Windows
Autorun qui est un logiciel qui permet de vérifier les points de chargement de Windows, c’est-à-dire les emplacements systèmes qui permettent à un logiciel de se lancer au démarrage de Windows.
Les logiciels malveillants utilisent ces points de chargement pour rester résident et se charger au démarrage de Windows pour se rendre actif.
Ce logiciel gratuit énumère tous les points de chargements et programmes de Windows.
Le but est d’y déceler des programmes malveillants. De plus, il donne aussi la possibilité de soumettre les éléments sur VirusTotal pour les identifier.
Si vous en avez, vous pouvez décocher l’élément afin de le désactiver de Windows.
- Téléchargez Autoruns depuis ce lien :
- Décompressez le fichier ZIP dans un emplacement de votre choix, par exemple, avec 7-zip
- Puis faites un clic droit sur Autoruns64.exe et « Exécutez en tant qu’administrateur«
- Pour activer, une analyse VirusTotal des éléments listés, cliquez sur le menu Options > Scan Options.
Cochez alors « Check VirusTotal.com » et acceptez les conditions d’utilisation. Vous pouvez vérifier si les fichiers sont signés numériquement (plus d’informations : Signature numérique des fichiers sur Windows et sécurité).
Pour aider, il existe un tuto sur le site, ce dernier explique comment activer l’analyse VirusTotal : Tutoriel Autoruns
Ci-dessous, un exemple d’élément malicieux détecté dans Autoruns, les scans VirusTotal sont en rouges.
Vérifier les connexions réseaux
Les trojan communiquent avec des serveurs et émettent des connexions sortantes.
Glasswire est une application très pratique pour traquer les connexions.
Vous pouvez aussi lire ce tuto : Lister les connexions réseau sur Windows
Le site propose un tutoriel pour ce logiciel : Tutoriel Glasswire
Le moniteur de ressources système de Windows permet aussi de visualiser les connexions par processus Windows.
Là aussi quelques limites, si le Trojan est sophistiqué et utilise un processus système, vous risquez d’avoir des difficultés pour faire le tri entre les connexions légitimes et malveillantes.
De plus, vous n’aurez pas le détail sur les connexions d’application (notamment les connexions HTTP), vous ne verrez que les adresses IP sortantes et les ports.
Plus d’informations de côté là : La notion de port ouvert et la sécurité.
Vérifier si Windows a été piraté en vidéo
Voici une illustration de ce tuto en vidéo, avec un trojan actif :
Comment savoir si j’ai été hacké sur le forum
FRST est un programme qui analyse l’ordinateur, énumère tous les points de chargement et les processus en cours d’exécution.
C’est donc un programme idéal pour vérifier l’état son ordinateur.
Vous pouvez soumettre ces rapports sur le forum pour une aide gratuite.
Voici comment faire :
- Suivez le tutoriel du site afin d’effectuer une analyse avec FRST de votre ordinateur : Comment utiliser FRST
- Une fois les rapports FRST.txt et Addition.txt générés
- Rendez-vous sur http://pjjoint.malekal.com pour mettre en ligne les rapports pour une consultation par un tiers
- Cliquez sur le bouton Parcourir et sélectionnez le fichier FRST.txt
- puis cliquez sur Envoyer et notez le lien du rapport
- Faites de même pour le rapport Addition.txt et notez le lien du rapport
- Créez un sujet dans la section VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack) du forum du site en indiquant les problèmes rencontrés et en donnant le lien vers les rapports pjjoint. Aidez-vous de ce guide, si nécessaire: Comment demander de l’aide et résoudre les problèmes informatiques
Liens
- Comment savoir si quelqu’un s’est connecté à votre ordinateur
- Comment savoir si quelqu’un contrôle mon PC à distance
- Comment savoir ce qui a été fait sur un ordinateur et vérifier l’activité récente de son PC
- Comment vérifier si le PC a été piraté ou hacké
- Afficher les informations de dernière connexion sur l’écran d’accueil de Windows
- Comment consulter l’historique d’ouverture et fermeture de session utilisateur dans Windows 10 et 11
- Vérifier les dernières activités de connexion à votre compte Microsoft
- LastActivityView : Visualiser les dernières activités de son PC
- FRSSystemWatch : visualiser les modifications de Windows en temps réel
- ProcMon : surveiller/capturer l’activité système Windows ou d’une application
- FRSSystemWatch : visualiser les modifications de Windows en temps réel
- Les meilleurs logiciels pour suivre l’activité système Windows
- Monitorer l’activité système ou d’un programme
- Le moniteur de ressources de Windows
- WireShark : sniff et analyse réseau
- Lister les connexions réseau sur Windows
- Tutoriel Process Explorer : un gestionnaire de tâches avancé qui permet de suivre l’activité des processus