Dans cet article, j’explique le principe des désinfections manuelles de malwares qui s’effectuent sur les forums.
Il s’agit donc de supprimer les virus sans logiciels sur Windows.
Cela peut servir aux geek de la famille à qui on ramène les Windows malades.
Le but est de bien comprendre sur quoi repose ces désinfections de virus et comment procéder.
Ceci est donc une illustration des désinfections faites à partir de l’utilitaire FRST.
Cette page est donc à destination des personnes à l’aide en informatique et ayant une connaissance minimale en informatique et Windows.
Table des matières
Principe pour supprimer les virus sans antivirus
Avant d’entrer dans le vif du sujet, il faut comprendre sur quoi repose ces désinfections.
Tout d’abord, nous allons juste rappeler de quoi est composé un logiciel malveillant.
- Une partie active : c’est le processus en mémoire actif qui effectue les actions, ce pourquoi, le logiciel malveillant a été conçue. Ce processus peut prendre la forme d’un .exe ou d’une DLL
- L’utilisation d’un point de chargement de Windows. Cela permet au virus informatique de se charger à chaque démarrage de Windows. Il existe beaucoup de point de chargement sur Windows.
Comment restaurer Windows 10.
Bien entendu, on a toujours des exceptions, comme par exemple, le remplacement de fichiers systèmes : Trojan Patched et remplacement de fichiers systèmes de Windows.
Qu’est-ce que FRST ?
FRST est un programme qui effectue une analyse de Windows et génère des rapports.
Ces rapports contiennent beaucoup d’informations systèmes comme :
- des points de chargements de Windows ou autoruns,
- les processus en cours d’exécution,
- une partie des DLL chargées en mémoire,
- les derniers fichiers modifiés dans le système et bien d’autres données.
- les programmes installés
- Le contenu du fichier HOSTS de Windows
- Les tâches planifiées
- et bien d’autres éléments de Windows
A partir, d’une analyse de ces rapports, il est possible de trouver certains logiciels malveillants et de les éradiquer.
La suppression se fait à partir d’un script de correction que l’on fournit à FRST.
Ce dernier contient les fichiers, clés et autres éléments à supprimer de Windows.
Pour les plus anciens des internautes, il s’agit du même principe que le fameux HijackThis qui est devenu trop limité sur le contenu de l’analyse système et plus maintenu.
Avec une bonne pratique, les avantages sont de pouvoir vérifier et supprimer les virus qui ne sont pas détectés par les programmes traditionnels : RogueKiller, ZHPCleaner, AdwCleaner, Malwarebytes-Anti Malware.
On se rapproche donc plutôt des outils proposés sur cette page : Comment vérifier si ordinateur a été hacké ou piraté ?
A travers l’analyse des processus en cours de chargement et des points de chargement de Windows.
L’inconvénient concerne ceux qui ne veulent pas avoir à réfléchir et passer des outils automatiques.
pjjoint est l’outil idéal, ce dernier permet d’analyser les rapports FRST.
Ainsi vous pouvez avoir déjà un aperçu à travers une base de données recensant les programmes légitimes.
Analyse rapport FRST
Quelques informations sur les rapports FRST et leur composition.
Les rapports FRST sont composés de trois rapports (si vous cochez bien les options comme indiqué dans le tutoriel FRST)
- FRST.txt : contient les processus, clés RUN, informations navigateurs WEB, pilotes et derniers fichiers modifiés
- Addition.txt : liste les programmes installés, les tâches planifiées
Les couleurs de pjjoint :
- En rouge gras : connus pour être malveillant
- Rouge : détection générique afin d’attirer l’attention, pas forcément malveillant mais peut l’être
- En vert : légitime
- Gris : pas de statut
FRST.txt
L’en-tête fournit les informations du rapport FRST.txt, l’utilisateur Windows et les versions de Windows.
puis la liste des processus en cours d’exécution durant le scan FRST.
Les clés run et extensions
Vient ensuite les clés Run et startup.
On peut aussi y trouver les clés IFEO.
puis la configuration des navigateurs WEB, listant les extensions installées.
Pilotes et services Windows
Même chose avec les services Windows et pilotes.
les derniers fichiers modifiés ou créés, sur un mois.
Enfin le rapport FRST se termine par les hashs de fichiers systèmes afin de détecter d’éventuel patch.
FRST indique si les fichiers systèmes sont signés numériquement.
Si l’option BCD a été coché, le contenu du BCD est donné.
Addition.txt
Les rapports Addition.txt ne sont pas évalués par pjjoint.
Voici l’en-tête du rapport Addition.txt assez similaire à FRST.txt
puis on enchaîne sur les informations utilisateurs, ainsi que les antivirus installés.
Du moins, la liste retournée par Windows (qui peut-être fausse).
puis la liste des programmes installés dans Windows.
raccourcis et tâches planifiées
Puis on trouve les raccourcis, souvent modifiés par des Browser Hijacker pour forcer des moteurs de recherche.
Les modules chargés dans explorer.exe
Puis les tâches planifiées de Windows.
Pour les raccourcis, vous pouvez générer un fichier Shortcut.txt qui liste tous les raccourcis Windows modifier.
Exemple launchpage.org où on voit que Shortcut.txt en liste beaucoup plus :
Fichiers HOSTS et pare-feu
Ensuite d’autres infos dont un aperçu du fichier HOSTS de Windows qui peut-être modifiés (Hijack.HOSTS).
On trouve aussi les informations DNS.
et les entrées mconfig, si l’utilisateur a désactivé certains programmes au démarrage de Windows.
les règles du pare-feu de Windows
Restauration et configuration matérielle
Quelques informations comme les points de restauration de Windows, puis les périphériques non installés (gestionnaires de périphériques) et certains contenu de l’observateur d’événements de Windows.
Enfin la configuration matérielle de l’ordinateur.
Supprimer les virus sans logiciel sur Windows
Aidez vous de pjjoint pour analyser les rapports FRST.
En cas de doute sur un fichier ou autres, vous pouvez :
- une analyse VirusTotal de ce fichier,
- une recherche Google incluant si possible le chemin complet avec des “, exemple : “C:\Windows\system32\csrss.exe”
- vérifiez avec herdprotect, exemple sur Google : herdprotect c:\windows\system32\csrss.exe
Pjjoint aide à mettre de côté les fichiers légitimes. Avec l’habitude, vous verrez que c’est à peu près toujours les mêmes programmes qui reviennent.
Le but est de noter chaque ligne malveillante et liés à des cheval de troie, virus et autres afin de constituer une correction FRST.
C’est parti pour quelques exemples et subtilités.
Startup, clé Run et services Windows
Rien d’exception, il suffit de vérifier ces derniers qui servent de points de chargement d’application.
En général, pjjoint les reconnaît assez facilement.
Prêtez une attention au fichier non signé numériquement.
Plus d’informations sur les points de chargements de Windows : Les points de chargement ou autoruns de Windows
Clé IFEO
Les clés du registre Windows IFEO pour Image File Execution Options sont des clés, initialement prévus pour débugger permettant l’exécution d’un exécutable lorsqu’un exécutable en particulier se lance.
La clé se trouve dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options suivi du nom de l’exe.
Dans l’exemple ci-dessous, à chaque exécution de GoogleUpdate.exe (légitime), un exécutable avec des chiffres (malveillant) sera aussi lancé.
Si aucun exécutable n’est spécifié alors le fichier ne pourra se lancer.
Ci-dessous, le gestionnaire de tâches (taskmgr.exe) ne pourra être démarré.
Même chose ci-dessous pour prévenir de l’exécution de FRST, HijackThis etc :
Malwarebytes Anti-Malware peut détecter ces derniers en PUP.Optional.IFEO
PUP.Optional.IFEO, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SKYPE.EXE, Aucune action de l'utilisateur, [9391], [239345],1.0.1937 PUP.Optional.IFEO, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SKYPE.EXE, Aucune action de l'utilisateur, [9391], [239345],1.0.1937 PUP.Optional.GeekBuddy, HKLM\SOFTWARE\WOW6432NODE\GeekBuddyRSP, Aucune action de l'utilisateur, [1911], [342277],1.0.1937
Extension malveillante sur Chrome
Les extensions malveillantes (Adwares/PUPs) sur Chrome et Firefox sont identifiées par des ID.
Il suffit alors d’effectuer une recherche Google afin de vérifier si celle-ci se trouve dans le magasin de Chrome et si elle est “connue”.
Drivers malveillants
Exemple de pilotes malveillants avec ucguard / UCBrowser et Netutils
Trojan RAT
Quelques exemples de rapports FRST avec des Trojans RAT.
La plupart du temps, ces derniers se chargent par des clés RUN ou Startup.
Parfois des tâches planifiées.
La tâche planifiée et les dossiers du Trojan RAT qui correspondent :
Un Trojan RAT qui se chargent par des clés RUN et Startup :
De multiples dossiers dans %APPDATA%, l’attribut H montre que ces derniers sont attributs cachés (hidden).
Malware Filess
Ces derniers se chargent par des clés Run ou tâches planifiées qui contiennent une commande de script.
Plus d’infos : Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit et les Les virus ou trojan Powershell
Clé Run avec mshta :
Signature fichiers systèmes
Ci-dessous un exemple de fichier système patché (modifié afin d’effectuer des opérations malveillantes).
Le fichier dnsapi.dll est modifié et donc, il n’est plus signé numériquement.
FRST indique le MD5 du fichier, vous pouvez éventuellement effectuer une recherche sur Google.
Plus de détails sur la page suivante :
Correction FRST pour supprimer les virus
Une fois, les lignes malveillantes repérées et notées.
Vous pouvez effectuer une correction FRST afin de supprimer les logiciels malveillants de Windows.
Pour cela, il faut créer un fichier fixlist.txt qui doit impérativement se trouver dans le même dossier que Windows.
Exemple de script
Voici un exemple de contenu de script :
CreateRestorePoint: CloseProcesses: S2 kysykiti; C:\Users\Renée\AppData\Local\F96DDF60-1434836047-11DF-8BD0-744A47CC2AC5\snsr82C7.tmp [X] cmd: netsh winsock reset reg: reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f reg: reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f reg: reg delete "HKCU\Software\Classes\HHHKGBTOELADSHK" cmd: netsh winsock reset Hosts: EmptyTemp: RemoveProxy: Reboot:
En détails
- CreateRestorePoint: demande la création d’un point de restauration système.
- CloseProcesses: tue tous les processus non essentiels de Windows
- cmd: permet de lancer une commande cmd, dans l’exemple on vide le catalogue Winsock.
- reg: permet de passer une commande reg, même syntaxe que celle de l’invite de commandes de Windows.
- add, vous pouvez créer des clés en indiquant la valeur etc
- delete, vous pouvez supprimer des clés du registre Windows
- HOSTS: vide le fichier HOSTS de Windows.
- EmptyTemp : vide les fichiers temporaires
- RemoveProxy : supprimer tous les proxys de Windows
- Reboot: fait redémarrer l’ordinateur une fois la correction effectuée.
Vous pouvez donc indiquer les clés Run, Services et autres directement, ainsi que les lignes de fichiers modifiés.
Vous pouvez aussi donner le chemin complet d’un fichier ou dossier afin de faire supprimer ce dernier.
Pour une syntaxe complète des scripts FRST, rendez-vous sur la page: FRST Tutorial – How to use Farbar Recovery Scan Tool
Relancez alors FRST puis cliquez sur le bouton Correction (Fix en anglais) pour lancer l’opération.
Désinfection de virus en vidéo
Exemple de suppression de cheval de troie et désinfection Windows en vidéo :
Liens
- Supprimer les menaces (virus, trojan, PUA) détectées par Windows Defender de Windows 10, 11
- MalwareBytes Anti-Malware (MBAM) : supprimer les virus
- Supprimer les virus sans logiciel sur Windows (avec FRST)
- Supprimer les virus et désinfecter son PC
- Supprimer les PUP, adwares et publicités intempestives
- Comment supprimer un trojan de son PC gratuitement
- AdwCleaner : supprimer les adwares, virus et PUP
- Supprimer les virus avec Kaspersky
- Les outils de désinfection et de suppression de virus
- Contrôle et piratage à distance de votre PC
- Supprimer Hijacker Proxy
- Comment supprimer Trojan Wacatac de son PC (gratuitement)