Désinfection manuelle de Windows (Trojan, Adware etc)

Dans cet article, j’explique le principe des désinfections manuelles qui s’effectuent généralement sur les forums.
Cela peut servir aux geek de la famille à qui on ramène les Windows malades.
Le but est de bien comprendre sur quoi repose ces désinfections de virus et comment procéder.

Ceci est donc une illustration des désinfections faites à partir de l’utilitaire FRST.
Cette page est donc à destination des personnes à l’aide en informatique et ayant une connaissance minimale en informatique et Windows.

Désinfection manuelle de Windows (Trojan, Adware etc)

Principe

Avant d’entrer dans le vif du sujet, il faut comprendre sur quoi repose ces désinfections.
Tout d’abord, nous allons juste rappeler de quoi est composé un logiciel malveillant.

  • Une partie active, c’est le processus en mémoire actif qui effectue les actions, ce pourquoi, le logiciel malveillant a été conçue. Ce processus peut prendre la forme d’un .exe ou d’une DLL
  • L’utilisation d’un point de chargement de Windows, cela permet au virus informatique de se charger à chaque démarrage de Windows. Il existe beaucoup de point de chargement sur Windows.

Bien entendu, on a toujours des exceptions, comme par exemple, le remplacement de fichiers systèmes : Trojan Patched et remplacement de fichiers systèmes de Windows.

FRST est un programme qui effectue un analyse de Windows et génère des rapports.
Ces rapports contiennent des points de chargements de Windows, les processus en cours d’exécution, une partie des DLL chargées en mémoire, les derniers fichiers modifiés dans le système et bien d’autres données.
A partir, d’une analyse de ces informations, il est possible de trouver certains logiciels malveillants et de les éradiquer.
La suppression se fait à partir d’un script de correction que l’on fournit à FRST et qui indique les fichiers, clés et autres éléments à supprimer de Windows.

Pour les plus anciens des internautes, il s’agit du même principe que le fameux HijackThis qui est devenu trop limité sur le contenu de l’analyse système et plus maintenu.

Avec une bonne pratique, les avantages sont de pouvoir vérifier et supprimer les virus qui ne sont pas détectés par les programmes traditionnels : RogueKiller, ZHPCleaner, AdwCleaner, Malwarebytes-Anti Malware.
On se rapproche plutôt des outils proposés sur cette page : Comment vérifier si ordinateur a été hacké ou piraté ?

A travers l’analyse des processus en cours de chargement et des points de chargement de Windows.

L’inconvénient concerne ceux qui ne veulent pas avoir à réfléchir et passer des outils automatiques.
pjjoint est l’outil idéal, ce dernier permet d’analyser les rapports FRST, ainsi vous pouvez avoir déjà un aperçu à travers une base de données recensant les programmes légitimes.

Analyse rapport FRST

Quelques informations sur les rapports FRST et leur composition.
Les rapports FRST sont composés de trois rapports (si vous cochez bien les options comme indiqué dans le tutoriel FRST)

  • FRST.txt : contient les processus, clés RUN, informations navigateurs WEB, pilotes et derniers fichiers modifiés
  • Addition.txt : liste les programmes installés, les tâches planifiées

Les couleurs de pjjoint :

  • En rouge gras : connus pour être malveillant
  • Rouge : détection générique afin d’attirer l’attention, pas forcément malveillant mais peut l’être
  • En vert : légitime
  • Gris : pas de statut

FRST.txt

L’en-tête fournit les informations du rapport FRST.txt, l’utilisateur Windows et les versions de Windows.
puis la liste des processus en cours d’exécution durant le scan FRST.

Vient ensuite les clés Run et startup.
On peut aussi y trouver les clés IFEO.

puis la configuration des navigateurs WEB, listant les extensions installées.

puis les services Windows et pilotes.

les derniers fichiers modifiés ou créés, sur un mois.

Enfin le rapport FRST se termine par les hashs de fichiers systèmes afin de détecter d’éventuel patch.
FRST indique si les fichiers systèmes sont signés numériquement.
Si l’option BCD a été coché, le contenu du BCD est donné.

Addition.txt

Les rapports Addition.txt ne sont pas évalués par pjjoint.
Voici l’en-tête du rapport Addition.txt assez similaire à FRST.txt

puis on enchaîne sur les informations utilisateurs, ainsi que les antivirus installés.
Du moins, la liste retournée par Windows (qui peut-être fausse).
puis la liste des programmes installés dans Windows.

puis les raccourcis, souvent modifiés par des Browser Hijacker pour forcer des moteurs de recherche.
Les modules chargés dans explorer.exe
Puis les tâches planifiées de Windows.

Pour les raccourcis, vous pouvez générer un fichier Shortcut.txt qui liste tous les raccourcis et permet de récupérer les raccourcis Windows modifier afin de faire lancer un moteur de recherche en particulier. Exemple launchpage.org où on voit que Shortcut.txt en liste beaucoup plus :

puis d’autres infos dont un aperçu du fichier HOSTS de Windows qui peut-être modifiés (Hijack.HOSTS).
On trouve aussi les informations DNS.
et les entrées mconfig, si l’utilisateur a désactivé certains programmes au démarrage de Windows.

les règles du pare-feu de Windows

Quelques informations comme les points de restauration de Windows, puis les périphériques non installés (gestionnaires de périphériques) et certains contenu de l’observateur d’événements de Windows.

Enfin la configuration matérielle de l’ordinateur.

Désinfection virus

Aidez vous de pjjoint pour analyser les rapports FRST.
En cas de doute sur un fichier ou autres, vous pouvez :

  • une analyse VirusTotal de ce fichier,
  • une recherche Google incluant si possible le chemin complet avec des « , exemple : « C:\Windows\system32\csrss.exe »
  • vérifiez avec herdprotect, exemple sur Google : herdprotect c:\windows\system32\csrss.exe

Pjjoint aide à mettre de côté les fichiers légitimes. Avec l’habitude, vous verrez que c’est à peu près toujours les mêmes programmes qui reviennent.
Le but est de noter chaque ligne malveillante et liés à des cheval de troie, virus et autres afin de constituer une correction FRST.

C’est parti pour quelques exemples et subtilités.

Startup, clé Run et services Windows

Rien d’exception, il suffit de vérifier ces derniers qui servent de points de chargement d’application.
En général, pjjoint les reconnaît assez facilement.

Prêtez une attention au fichier non signé numériquement.

Plus d’informations sur les points de chargements de Windows : Les points de chargement ou autoruns de Windows

Clé IFEO

Les clés du registre Windows IFEO pour Image File Execution Options sont des clés, initialement prévus pour débugger permettant l’exécution d’un exécutable lorsqu’un exécutable en particulier se lance.

La clé se trouve dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options suivi du nom de l’exe.
Dans l’exemple ci-dessous, à chaque exécution de GoogleUpdate.exe (légitime), un exécutable avec des chiffres (malveillant) sera aussi lancé.

Si aucun exécutable n’est spécifié alors le fichier ne pourra se lancer.
Ci-dessous, le gestionnaire de tâches (taskmgr.exe) ne pourra être démarré.

Même chose ci-dessous pour prévenir de l’exécution de FRST, HijackThis etc :

Malwarebytes Anti-Malware peut détecter ces derniers en PUP.Optional.IFEO

PUP.Optional.IFEO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SKYPE.EXE, Aucune action de l'utilisateur, [9391], [239345],1.0.1937
PUP.Optional.IFEO, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SKYPE.EXE, Aucune action de l'utilisateur, [9391], [239345],1.0.1937
PUP.Optional.GeekBuddy, HKLM\SOFTWARE\WOW6432NODE\GeekBuddyRSP, Aucune action de l'utilisateur, [1911], [342277],1.0.1937

Extension malveillante sur Chrome

Les extensions malveillantes (Adwares/PUPs)  sur Chrome et Firefox sont identifiées par des ID.
Il suffit alors d’effectuer une recherche Google afin de vérifier si celle-ci se trouve dans le magasin de Chrome et si elle est « connue ».

Drivers malveillants

Exemple de pilotes malveillants avec ucguard / UCBrowser et Netutils

Trojan RAT

Quelques exemples de rapports FRST avec des Trojans RAT.
La plupart du temps, ces derniers se chargent par des clés RUN ou Startup.
Parfois des tâches planifiées.

La tâche planifiée et les dossiers du Trojan RAT qui correspondent :

 

Un Trojan RAT qui se chargent par des clés RUN et Startup :

De multiples dossiers dans %APPDATA%, l’attribut H montre que ces derniers sont attributs cachés (hidden).

Malware Filess

Ces derniers se chargent par des clés Run ou tâches planifiées qui contiennent une commande de script.
Plus d’infos : Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit et les Les virus ou trojan Powershell

Clé Run avec mshta :

Signature fichiers systèmes

Ci-dessous un exemple de fichier système patché (modifié afin d’effectuer des opérations malveillantes).
Le fichier dnsapi.dll est modifé et donc, il n’est plus signé numériquement.
FRST indique le MD5 du fichier, vous pouvez éventuellement effectuer une recherche sur Google.

Correction FRST

Une fois, les lignes malveillantes repérées et notées.
Vous pouvez effectuer une correction FRST afin de supprimer les logiciels malveillants de Windows.
Pour cela, il faut créer un fichier fixlist.txt qui doit impérativement se trouver dans le même dossier que Windows.

Voici un exemple de contenu de script :

CreateRestorePoint:
CloseProcesses:
 S2 kysykiti; C:\Users\Renée\AppData\Local\F96DDF60-1434836047-11DF-8BD0-744A47CC2AC5\snsr82C7.tmp [X] 
 cmd: netsh winsock reset
reg: reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg delete "HKCU\Software\Classes\HHHKGBTOELADSHK"
cmd: netsh winsock reset
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
  • CreateRestorePoint: demande la création d’un point de restauration système.
  • CloseProcesses: tue tous les processus non essentiels de Windows
  • cmd: permet de lancer une commande cmd, dans l’exemple on vide le catalogue Winsock.
  • reg: permet de passer une commande reg, même syntaxe que celle de l’invite de commandes de Windows.
    • reg add, vous pouvez créer des clés en indiquant la valeur etc
    • reg delete, vous pouvez supprimer des clés du registre Windows
  • HOSTS: vide le fichier HOSTS de Windows.
  • EmptyTemp : vide les fichiers temporaires
  • RemoveProxy : supprimer tous les proxys de Windows
  • Reboot: fait redémarrer l’ordinateur une fois la correction effectuée.

Vous pouvez donc indiquer les clés Run, Services et autres directement, ainsi que les lignes de fichiers modifiés.
Vous pouvez aussi donner le chemin complet d’un fichier ou dossier afin de faire supprimer ce dernier.

Pour une syntaxe complète des scripts FRST, rendez-vous sur la page:  FRST Tutorial – How to use Farbar Recovery Scan Tool

Relancez alors FRST puis cliquez sur le bouton Correction (Fix en anglais) pour lancer l’opération.

Désinfection de virus en vidéo

Exemple de suppression de cheval de troie et désinfection Windows en vidéo :

Liens autour de la suppression de virus

Sans oublier, le menu du site : Virus & Sécurité.

(Visité 3 812 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet