Sécurité

Didacticiel sur la suppression des malwares

Supprimer les malwaresLes virus ne sont plus les seuls éléments nuisibles à votre ordinateur, il existe en effet de nombreux autres programmes pouvant modifier ou endommager le bon fonctionnement de votre PC comme les vers et chevaux de Troie. Le terme de malware (contraction de malicious software) désigne ces nouvelles menaces. Nous allons aborder ici une méthode à suivre afin d'éradiquer de façon définitive ces hôtes indésirables qui pourraient infester votre PC.

Première partie

Mode normal infesté

1) Connaître son ennemi :
- Si vous avez la chance de connaître le nom du virus-malware-Spyware-trojan et autre méchant qui vous attaque, alors faites une recherche sur le net afin de récupérer un maximum d'informations, voire même de scripts ou de logiciels spécifiques susceptibles de permettre son éradication.

2) Eviter à tout prix la propagation :
- Dès l'infection constatée, il faut isoler par précaution votre machine attaquée des autres machines si vous êtes en réseau.

3) Stopper les processus actifs :
- Les attaques les plus simples proviennent de processus actifs, votre Gestionnaire de Tâches vous en donne la liste, mais aussi certains logiciels (InXPpect,...).

4) Stopper les processus récalcitrants :
- Certains processus refusent d'être stoppés,il faut donc utiliser des gestionnaires de processus (KillProcess, APM,...).
- Il est intéressant aussi de connaître les ressources lancées par un processus (Advanced Process Termination, RegRun Control Center,...).

5) Désactiver la restauration système :
- Les antivirus ne scannent pas certains fichiers cachés par le système, il est donc nécessaire de la désactiver.

6) Réparer Windows en conservant les données :
- SI vous estimez que des fichiers système sont atteints, vous pouvez lancer une réparation en conservant les données.

7) Utiliser un antivirus en ligne :
- Votre machine est infectée mais pas la machine distante, ce test est donc très intéressant, de nombreux sites en proposent (Antivirus en ligne sur Zebulon, BitDefender, Secuser,F-Secure, Security Check, McAfee FreeScan, Panda ActiveScan,...).

8) Passer un nettoyeur de registre :
- L'infection peut atteindre la Base De Registre, il faut donc la nettoyer (Regcleaner,...).

Mode sans échec (tapotez sur la touche F8 pendant l'amorçage du système)

- Dans ce mode, seuls les pilotes de périphériques indispensables sont chargés. L'ensemble des services et des programmes résidents sont désactivés. Votre carte graphique est en mode super VGA.

1) Nettoyer les fichiers windows inutiles :
- Supprimer tous les fichiers du répertoire c:\windows\prefetch, à l'exception de layout.ini.

2) Supprimer les fichiers temporaires :
- Ils sont crées, entre autre, lors de l'utilisation de windows installer pour l'installation de logiciels ou de leur mises à jour.

3) Supprimer les fichiers mis en quarantaine :
- Lorsque votre antivirus ne peut supprimer un virus, il propose de le mettre en quarantaine. Certains virus permettent de réactiver ces "virus dormants".

4) Supprimer les fichiers suspects :
- Rechercher avec l'explorateur Windows tous les fichiers que vos antivirus ont trouvé et surtout ne pas oublier au préalable de rendre "visible" les fichiers cachés.

5) Nettoyer les fichiers inutiles :
- Appliquer l'astuce Nettoyer les fichiers inutiles.
- Il existe aussi des nettoyeurs de fichiers qui font le ménage pour vous (JV6PowerTools, BeClean, Internet Sweeper,...).

6) Nettoyer les listes MRU :
- Ces listes contiennent des informations telles que les noms ou les endroits des derniers dossiers que vous avez consultés. (MRUBlaster,...).

7) Nettoyer le/les disque(s) durs :
- Penser à cocher toutes les options de nettoyage.

8) Vider la corbeille :
- Les fichiers vérolés de la corbeilles peuvent êtres réactivés par des scripts malveillants.

9) Lancer Hijackthis :
- Le programme est téléchargeable ici. Vous pouvez faire une évaluation de log, toutefois, il faut faire attention à ce diagnostic et demander conseil s'il y a le moindre doute, ensuite il faut supprimer les lignes suspectes.

10) Vérifier les paramètres de démarrage :
- Editer le fichier "boot.ini" avec Msconfig et faire le ménage dans MS Config.
- Pour les experts, vérifier les clés lancées par la Base de Registre au démarrage (HKLM...\Run...).

11) Analyser les fichiers système :
- Il est possible de faire un scan en ligne de commande "sfc /scannow" avec le CD Windows installé.

12) Scanner votre disque dur avec un antivirus :
- Il existe de nombreux antivirus gratuits et performants (Escan, Stinger, Avast, Antivir, AVG, F-Prot,...).

13) Scanner la Base de Registre :
- C'est la plupart du temps dans la BDR que s'incrustent les virus, il faut donc nettoyer mais aussi placer des gardiens. (Spybot S&D, RegCleaner, RegistryProt,...).

14) Scanner avec un anti-spyware/malware :
- Même un très bon antivirus peut laisser passer un spyware ou un malware. Il faut donc analyser mais aussi placer des gardiens. (Ad-aware, Pest Patrol, Spywareblaster, SpywareGuard, Tauscan,...).

15) Rechercher les Trojans:
- Le trojan, appelé aussi Cheval de Troie est un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en ouvrant une porte dérobée ou backdoor.
- Il faut palier à sa propagation par les 65000 ports de la machine que le firewall (Windows, NIS, Zone Alarm, Tiny personal firewall, Kerio, Outpost, VisualZone,...) n'a pas pu arrêter. Puis Scanner avec un anti-trojan (The Cleaner, CWshredder, , Anti-Trojan...).
- Consulter les listes des ports-trojans (liste1, liste2).
- Vous pouvez utiliser le logiciel Zeb Protect et fermer certains ports sensibles aux attaques venant d'Internet.

Vos commentaires
Laissez un commentaire !
A découvrir également :
  1. aflorac en tant qu'invité
    le 1/10/2006

    Ceci n' est pas à proprement parler un commentaire ; c' est avant tout une question.
    Comment , aprés avoir téléchargé Ultimate Boot CD ,mettre àjour les fichiers de définition des virus pour les différents Antivirus utilisables ?
    Merci d' avance pour votre réponse.

    répondre
  2. Invité
    Coolmann
    le 11/11/2004

    Joli travail. Coolman, un petit coup d'oeil ici, pourra peut-être t'intéresser...
    ---> http://www.cedsweb.com/forums/index.php?showtopic=2207&hl=

    Merci aux modérateurs de supprimer le lien ensuite, ce n'est pas un exemple à suivre.

    [note de Yann] : je laisse le lien

    Droit de réponse :

    Désolé, mais le site dont il est fait référence est celui de "CED", dans lequel je suis membre et même modérateur sous le pseudo d'élume, aussi étant l'auteur de cet article, je possède pleinement les droits sur sa diffusion.

    Pour le prouver, c'est très simple, je vais immédiatement modifier ma signature chez "Ced" en rajoutant une des 3 phrases de ma signature chez Zébulon.

    A+
    Coolman (Elume)




    répondre
  3. Invité
    SD
    le 10/11/2004

    Joli travail. Coolman, un petit coup d'oeil ici, pourra peut-être t'intéresser...
    ---> http://www.cedsweb.com/forums/index.php?showtopic=2207&hl=

    Merci aux modérateurs de supprimer le lien ensuite, ce n'est pas un exemple à suivre.

    [note de Yann] : je laisse le lien

    répondre
  4. Invité
    cis
    le 9/11/2004

    article très clair ,très complet;à garder à côté du PC

    répondre
  5. Invité
    julien285
    le 28/10/2004

    C'est un précieux et merveilleux document plein de ressources et d'adresses. Bravo !

    répondre
  6. Invité
    balou2003
    le 27/10/2004

    felicitation super taff ce tuto....

    un seul mot : respect

    ;-)

    répondre
Ecrire un commentaire