Menu Fermer

Supprimer les virus sans logiciel sur Windows (avec FRST)

Dans cet article, j’explique le principe des désinfections manuelles de malwares qui s’effectuent sur les forums.
Il s’agit donc de supprimer les virus sans logiciels sur Windows.
Cela peut servir aux geek de la famille à qui on ramène les Windows malades.
Le but est de bien comprendre sur quoi repose ces désinfections de virus et comment procéder.

Ceci est donc une illustration des désinfections faites à partir de l’utilitaire FRST.
Cette page est donc à destination des personnes à l’aide en informatique et ayant une connaissance minimale en informatique et Windows.

Désinfection manuelle de Windows (Trojan, Adware etc)

Principe pour supprimer les virus sans antivirus

Avant d’entrer dans le vif du sujet, il faut comprendre sur quoi repose ces désinfections.
Tout d’abord, nous allons juste rappeler de quoi est composé un logiciel malveillant.

  • Une partie active : c’est le processus en mémoire actif qui effectue les actions, ce pourquoi, le logiciel malveillant a été conçue. Ce processus peut prendre la forme d’un .exe ou d’une DLL
  • L’utilisation d’un point de chargement de Windows. Cela permet au virus informatique de se charger à chaque démarrage de Windows. Il existe beaucoup de point de chargement sur Windows.
Pensez que pour des infections très simple, restaurer Windows peut supprimer le logiciel malveillants.
Comment restaurer Windows 10.

Bien entendu, on a toujours des exceptions, comme par exemple, le remplacement de fichiers systèmes : Trojan Patched et remplacement de fichiers systèmes de Windows.

Désinfection manuelle de Windows (Trojan, Adware etc)
Désinfection manuelle de Windows (Trojan, Adware etc)

Qu’est-ce que FRST ?

FRST est un programme qui effectue une analyse de Windows et génère des rapports.
Ces rapports contiennent beaucoup d’informations systèmes comme :

A partir, d’une analyse de ces rapports, il est possible de trouver certains logiciels malveillants et de les éradiquer.
La suppression se fait à partir d’un script de correction que l’on fournit à FRST.
Ce dernier contient les fichiers, clés et autres éléments à supprimer de Windows.

Pour les plus anciens des internautes, il s’agit du même principe que le fameux HijackThis qui est devenu trop limité sur le contenu de l’analyse système et plus maintenu.

Avec une bonne pratique, les avantages sont de pouvoir vérifier et supprimer les virus qui ne sont pas détectés par les programmes traditionnels : RogueKiller, ZHPCleaner, AdwCleaner, Malwarebytes-Anti Malware.
On se rapproche donc plutôt des outils proposés sur cette page : Comment vérifier si ordinateur a été hacké ou piraté ?

A travers l’analyse des processus en cours de chargement et des points de chargement de Windows.

L’inconvénient concerne ceux qui ne veulent pas avoir à réfléchir et passer des outils automatiques.
pjjoint est l’outil idéal, ce dernier permet d’analyser les rapports FRST.
Ainsi vous pouvez avoir déjà un aperçu à travers une base de données recensant les programmes légitimes.

analyser votre ordinateur avec pjjoint
L’analyse pjjoint peut être désactivée. Vous n’aurez alors pas les couleurs et reconnaissances de malwares automatiques.

Analyse rapport FRST

Quelques informations sur les rapports FRST et leur composition.
Les rapports FRST sont composés de trois rapports (si vous cochez bien les options comme indiqué dans le tutoriel FRST)

  • FRST.txt : contient les processus, clés RUN, informations navigateurs WEB, pilotes et derniers fichiers modifiés
  • Addition.txt : liste les programmes installés, les tâches planifiées

Les couleurs de pjjoint :

  • En rouge gras : connus pour être malveillant
  • Rouge : détection générique afin d’attirer l’attention, pas forcément malveillant mais peut l’être
  • En vert : légitime
  • Gris : pas de statut

FRST.txt

L’en-tête fournit les informations du rapport FRST.txt, l’utilisateur Windows et les versions de Windows.
puis la liste des processus en cours d’exécution durant le scan FRST.

analyse et suppression de malwares avec FRST et pjjoint

Les clés run et extensions

Vient ensuite les clés Run et startup.
On peut aussi y trouver les clés IFEO.

analyse et suppression de malwares avec FRST et pjjoint

puis la configuration des navigateurs WEB, listant les extensions installées.

analyse et suppression de malwares avec FRST et pjjoint

Pilotes et services Windows

Même chose avec les services Windows et pilotes.

analyse et suppression de malwares avec FRST et pjjoint
analyse et suppression de malwares avec FRST et pjjoint

les derniers fichiers modifiés ou créés, sur un mois.

analyse et suppression de malwares avec FRST et pjjoint

Enfin le rapport FRST se termine par les hashs de fichiers systèmes afin de détecter d’éventuel patch.
FRST indique si les fichiers systèmes sont signés numériquement.
Si l’option BCD a été coché, le contenu du BCD est donné.

analyse et suppression de malwares avec FRST et pjjoint

Addition.txt

Les rapports Addition.txt ne sont pas évalués par pjjoint.
Voici l’en-tête du rapport Addition.txt assez similaire à FRST.txt

puis on enchaîne sur les informations utilisateurs, ainsi que les antivirus installés.
Du moins, la liste retournée par Windows (qui peut-être fausse).
puis la liste des programmes installés dans Windows.

analyse et suppression de malwares avec FRST et pjjoint

raccourcis et tâches planifiées

Puis on trouve les raccourcis, souvent modifiés par des Browser Hijacker pour forcer des moteurs de recherche.
Les modules chargés dans explorer.exe
Puis les tâches planifiées de Windows.

analyse et suppression de malwares avec FRST et pjjoint

Pour les raccourcis, vous pouvez générer un fichier Shortcut.txt qui liste tous les raccourcis Windows modifier.
Exemple launchpage.org où on voit que Shortcut.txt en liste beaucoup plus :

analyse et suppression de malwares avec FRST et pjjoint
analyse et suppression de malwares avec FRST et pjjoint

Fichiers HOSTS et pare-feu

Ensuite d’autres infos dont un aperçu du fichier HOSTS de Windows qui peut-être modifiés (Hijack.HOSTS).
On trouve aussi les informations DNS.
et les entrées mconfig, si l’utilisateur a désactivé certains programmes au démarrage de Windows.

analyse et suppression de malwares avec FRST et pjjoint

les règles du pare-feu de Windows

analyse et suppression de malwares avec FRST et pjjoint

Restauration et configuration matérielle

Quelques informations comme les points de restauration de Windows, puis les périphériques non installés (gestionnaires de périphériques) et certains contenu de l’observateur d’événements de Windows.

analyse et suppression de malwares avec FRST et pjjoint

Enfin la configuration matérielle de l’ordinateur.

analyse et suppression de malwares avec FRST et pjjoint

Supprimer les virus sans logiciel sur Windows

Aidez vous de pjjoint pour analyser les rapports FRST.
En cas de doute sur un fichier ou autres, vous pouvez :

  • une analyse VirusTotal de ce fichier,
  • une recherche Google incluant si possible le chemin complet avec des “, exemple : “C:\Windows\system32\csrss.exe”
  • vérifiez avec herdprotect, exemple sur Google : herdprotect c:\windows\system32\csrss.exe

Pjjoint aide à mettre de côté les fichiers légitimes. Avec l’habitude, vous verrez que c’est à peu près toujours les mêmes programmes qui reviennent.
Le but est de noter chaque ligne malveillante et liés à des cheval de troie, virus et autres afin de constituer une correction FRST.

C’est parti pour quelques exemples et subtilités.

Startup, clé Run et services Windows

Rien d’exception, il suffit de vérifier ces derniers qui servent de points de chargement d’application.
En général, pjjoint les reconnaît assez facilement.

analyse et suppression de malwares avec FRST et pjjoint

Prêtez une attention au fichier non signé numériquement.

analyse et suppression de malwares avec FRST et pjjoint

Plus d’informations sur les points de chargements de Windows : Les points de chargement ou autoruns de Windows

Clé IFEO

Les clés du registre Windows IFEO pour Image File Execution Options sont des clés, initialement prévus pour débugger permettant l’exécution d’un exécutable lorsqu’un exécutable en particulier se lance.

La clé se trouve dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options suivi du nom de l’exe.
Dans l’exemple ci-dessous, à chaque exécution de GoogleUpdate.exe (légitime), un exécutable avec des chiffres (malveillant) sera aussi lancé.

analyse et suppression de malwares avec FRST et pjjoint

Si aucun exécutable n’est spécifié alors le fichier ne pourra se lancer.
Ci-dessous, le gestionnaire de tâches (taskmgr.exe) ne pourra être démarré.

analyse et suppression de malwares avec FRST et pjjoint

Même chose ci-dessous pour prévenir de l’exécution de FRST, HijackThis etc :

analyse et suppression de malwares avec FRST et pjjoint

Malwarebytes Anti-Malware peut détecter ces derniers en PUP.Optional.IFEO

PUP.Optional.IFEO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SKYPE.EXE, Aucune action de l'utilisateur, [9391], [239345],1.0.1937
PUP.Optional.IFEO, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SKYPE.EXE, Aucune action de l'utilisateur, [9391], [239345],1.0.1937
PUP.Optional.GeekBuddy, HKLM\SOFTWARE\WOW6432NODE\GeekBuddyRSP, Aucune action de l'utilisateur, [1911], [342277],1.0.1937

Extension malveillante sur Chrome

Les extensions malveillantes (Adwares/PUPs)  sur Chrome et Firefox sont identifiées par des ID.
Il suffit alors d’effectuer une recherche Google afin de vérifier si celle-ci se trouve dans le magasin de Chrome et si elle est “connue”.

analyse et suppression de malwares avec FRST et pjjoint

Drivers malveillants

Exemple de pilotes malveillants avec ucguard / UCBrowser et Netutils

analyse et suppression de malwares avec FRST et pjjoint
analyse et suppression de malwares avec FRST et pjjoint

Trojan RAT

Quelques exemples de rapports FRST avec des Trojans RAT.
La plupart du temps, ces derniers se chargent par des clés RUN ou Startup.
Parfois des tâches planifiées.

La tâche planifiée et les dossiers du Trojan RAT qui correspondent :

analyse et suppression de malwares avec FRST et pjjoint
analyse et suppression de malwares avec FRST et pjjoint

Un Trojan RAT qui se chargent par des clés RUN et Startup :

analyse et suppression de malwares avec FRST et pjjoint

De multiples dossiers dans %APPDATA%, l’attribut H montre que ces derniers sont attributs cachés (hidden).

analyse et suppression de malwares avec FRST et pjjoint

Malware Filess

Ces derniers se chargent par des clés Run ou tâches planifiées qui contiennent une commande de script.
Plus d’infos : Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit et les Les virus ou trojan Powershell

Clé Run avec mshta :

Clé Run malveillante

Signature fichiers systèmes

Ci-dessous un exemple de fichier système patché (modifié afin d’effectuer des opérations malveillantes).
Le fichier dnsapi.dll est modifié et donc, il n’est plus signé numériquement.
FRST indique le MD5 du fichier, vous pouvez éventuellement effectuer une recherche sur Google.

Signature fichiers systèmes

Plus de détails sur la page suivante :

Correction FRST pour supprimer les virus

Une fois, les lignes malveillantes repérées et notées.
Vous pouvez effectuer une correction FRST afin de supprimer les logiciels malveillants de Windows.
Pour cela, il faut créer un fichier fixlist.txt qui doit impérativement se trouver dans le même dossier que Windows.

Exemple de script

Voici un exemple de contenu de script :

CreateRestorePoint:
CloseProcesses:
 S2 kysykiti; C:\Users\Renée\AppData\Local\F96DDF60-1434836047-11DF-8BD0-744A47CC2AC5\snsr82C7.tmp [X] 
 cmd: netsh winsock reset
reg: reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg delete "HKCU\Software\Classes\HHHKGBTOELADSHK"
cmd: netsh winsock reset
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

En détails

  • CreateRestorePoint: demande la création d’un point de restauration système.
  • CloseProcesses: tue tous les processus non essentiels de Windows
  • cmd: permet de lancer une commande cmd, dans l’exemple on vide le catalogue Winsock.
  • reg: permet de passer une commande reg, même syntaxe que celle de l’invite de commandes de Windows.
    • add, vous pouvez créer des clés en indiquant la valeur etc
    • delete, vous pouvez supprimer des clés du registre Windows
  • HOSTS: vide le fichier HOSTS de Windows.
  • EmptyTemp : vide les fichiers temporaires
  • RemoveProxy : supprimer tous les proxys de Windows
  • Reboot: fait redémarrer l’ordinateur une fois la correction effectuée.

Vous pouvez donc indiquer les clés Run, Services et autres directement, ainsi que les lignes de fichiers modifiés.
Vous pouvez aussi donner le chemin complet d’un fichier ou dossier afin de faire supprimer ce dernier.

Pour une syntaxe complète des scripts FRST, rendez-vous sur la page:  FRST Tutorial – How to use Farbar Recovery Scan Tool

Relancez alors FRST puis cliquez sur le bouton Correction (Fix en anglais) pour lancer l’opération.

Fix et correction FRST

Désinfection de virus en vidéo

Exemple de suppression de cheval de troie et désinfection Windows en vidéo :