Désinfection PC

Pas si simple ! De multiples précautions s'imposent. Un exemple avec Smart Fortress en fin d'article.

Bonus (edit 08-2014)

Windows Repair (All in one)

Réparer windows avec Windows Repair (All in one)

http://forum.security-x.fr/tutoriels-317/reparer-widnows-avec-windows-repair-%28all-in-one%29/

Pour une fois, nous avons affaire à un véritable utilitaire apparemment sans spyware. Testé, il est redoutable d'efficacité, et permet de réparer win, même hors cas d' infection.

site_de_windows_repair_aio_setup.exe

Téléchargez en suivant les liens du site…

  1. Il conseille de faire une réinitialisation de l’alimentation (afin de décharger toute mémoire volatile).
  2. Cette seconde étape vous incite à prioritairement désinfecter votre pc avec Malwarebyte's si vous rencontrez certains problèmes. Suite à un accord entre les développeur et l'éditeur de Malwarebyte's, il est possible de télécharger et lancer directement l'outil depuis Windows Repair.
  3. Cette troisième étape est importante si vous rencontrez des erreurs d'accès aux fichiers (problèmes de permission, etc …), elle lancera l'outil de vérification des disques pour réparer au besoin les erreurs avant d'aller plus loin.
  4. Pour la quatrième étape, l'outil vous propose de lancer une vérification des fichiers système (le fameux SFC)…
  5. L'étape 5 permet de créer un point de restauration système et une sauvegarde du registre.Il est intéressant de le faire car les réparations peuvent dans certains cas provoquer des anomalies.
  6. L'avant-dernier onglet, nommé “Settings”, permet de personnaliser l'emplacement du dossier où seront conservé les rapports de réparation.
  7. Info : Le dernier onglet, “Tweaks” propose d'autres outils d'optimisation de l'éditeur.

Les sources d'information et d'aide

Sont présentés ici trois sites.

Par ordre de complexité

Assiste, Malekal puis Zebulon.

Par ordre de présentation

Malekal, Zebulon, et Assiste.

  • Malekal représente sans doute le meilleur compromis entre efficacité et pédagogie. L'interface du site est de plus agréable.
  • Zebulon donne des trucs rapides et concis ( depuis si longtemps !)
  • Enfin assiste aec sa Manip de protection d'un PC est le plus exhaustif, la Bible de la protection et de l' installation d'un système sécurisé.

Des outils communs

Ils ne sont pas présentés de la même façon, et les procédures divergent parfois.

Les récits linéaires et chronologiques ne conviennent que peu à décrire les méthodes de désinfection soi, des retours en arrière, des patchs et logiciels spécifiques à certaines infectons et des outils plus généralistes.

Sans expérience, il est quasi impossible de ne pas tâtonner, voire de ne pas commettre d'impair.

Malekal

Nombreux tutos simples et bien écrits tant pour win que nux !

malekal_rogues-attack Article Smart Fortress 2012 de MalwareBot » 28 Fév 2012 11:09

Avril 2011: Rogue Attack

Suite à une attaque SQL par injection qui touche 230 000 sites WEB - on note une grosse recrudescence des demandes de désinfection pour 3 familles de rogues.

Vous trouvez une procédure détaillée pour ces trois rogues en questions sur la page Rogues Attack: Windows Repair et MS Tool Removal supprimer-les-rogues-scarewares

Trois familles de Rogues/Scarewares

  • WindowsRepair
  • Une famille ancienne avec un nom aléatoire : Win32/FakeRean 33 en 1
  • MS removal tool qui est de la famille Security Tool qui a déjà fait un tabac par le passé (voir Perturbation / Lenteurs forum et site)

Procédure standard de désinfection

procedure-standard-de-desinfection-de-virus

Outre

Malekal propose un 4° outil Combofix

Combofix

Combofix est un programme qui supprime des trojans/backdoor connus et rootkits.

ComboFix.exe_par SuBs

Placez le sur votre bureau et pas ailleurs

Attention,c'est un outil extrêmement puissant qui doit être manipulé avec de grandes précautions!!

Voici un lien vers un tuto exhaustif how-to-use-combofix

Il redémarrera le système en mode sans échec à plusieurs reprises,rebootera le système, modifiera le boot.ini, etc,etc, coupera toute connexion au réseau …

Redémarrer en mode sans échec

  • Toute la procédure va se dérouler en mode sans échec. Le mode sans échec est un mode restreint de Windows où seulement le minimum vital est mis en fonction.
  • Les infections (sauf les rootkits) ne seront donc pas mis en fonction, ceci permet un nettoyage optimal par les antivirus et cleaner.
  • Si un programme à la fin de son installation vous propose de redémarrer l’ordinateur, refusez.

Nettoyage

Le nettoyage consiste à passer un par un les utilitaires. Dans la mesure du possible et pour une meilleur efficacité, vous devez suivre cette procédure sans interruption, à savoir éviter de redémarrer en mode normal.

N’hésitez pas à laisser tourner le scan toute la nuit si cela prend du temps.

Redémarrer en mode normal

Finaliser

Infections par médias amovibles

Si votre infection provient de médias amovibles (Clef USB, disque dur externe etc..), vous devez les nettoyer, pour cela utilisez FindyKill.

FindyKill

Avira

Modifier les mots de passe

La majorité des infections à l’heure actuelle intègre des keyloggers (enregistreur de frappes claviers) ou execute des programmes qui recherche les mots de passes de vos sites WEB.

Il est très fortemment conseillé de modifier les mots de passes de TOUS vos sites WEB/FTP surtout si vous consultez le sites de votre banque, eBay, Paypal etc…

J’ai été infecté car mon antivirus est mauvais?

La question qui revient le plus souvent après une infection est « quel le meilleur antivirus » – « Mes protections sont-elles bonnes? ».

La suite sur le site.

Ceci est la fin du tutorial désinfection “ classique”.

Suite du tuto spécifique de Malekal

Rappel: il était initialement ciblé sur trois familles de Rogues/Scarewares.

Il préconise essentiellement l'utilisation de deux outils Roguekiller et MBAM. Puis après désinfection, sécuriser son ordinateur.

RogueKiller

http://www.sur-la-toile.com/RogueKiller/

http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe

RogueKiller est un outil écrit en C++, qui scanne les processus en cours d'éxécution, et tue ceux qui sont malicieux. Cet outil est basé sur la rapidité d'éxécution:

Il va faire le ménage dans les processus, et sur demande nettoyer la base de registre afin de faire une désinfection plus rapide et plus sûre ensuite avec les outils habituels.

RogueKiller dans sa nouvelle version présente une interface graphique. Elle permet de choisir plus facilement les modes à utiliser, et décocher des éventuels faux positifs avant suppression.

RogueKiller détecte également les hooks SSDT, Shadow SSDT, les processus cachés, les détournements de Master boot Record (MBR).

RogueKiller est un fix developpé par Tigzy qui permet de supprimer des rogues.

Pensez à renommer le fix si ce dernier est bloqué par les rogues : winlogon, firefox etc.

Roguekiller, même renommé fait planter l'explorateur windows lors d'un dépannage à distance avec Teamviewer !!

FixShellQuietly

Une fois RogueKiller passé, on aurait pu utiliser le fix suivant afin de prévenir les “Black Screen Of the Death”.

FixShellQuietly, mais il n'est plus disponible sur le réseau.

MalwareByte's Anti-Malware

Télécharger et installer

Malwarebytes-Anti-Malware

Prendre l'option free.

En cas de problème de mise à jour, Télécharger_mises_à_jour_MBAM

Brancher ses disques amovibles au PC (clefs USB, disque dur externe, etc…) sans les ouvrir. (En cas de propagation par ces supports, en tant que cause de l' infection, ou victimes de l'infection).

Exécuter

Exécuter un examen complet.Cocher toutes les cases pour analyser la totalité des disques.Rechercher.

Le scan terminé, une fenêtre s'ouvre. Si le programme n'a rien trouvé, faire OK. Un rapport apparaît. Si des infections sont présentes, clic sur “Afficher les résultats” puis sur Supprimer la sélection.

Enregistre le rapport sur le Bureau et redémarrer l'ordinateur normalement.

REMARQUE : Autoriser MalwareByte à redémarrer pour terminer la suppression.

Détails par zebulon

onglet “Recherche”, “Exécuter un examen rapide”, “Rechercher”. Le scan est relativement long, c'est normal.

  • A la fin de l'analyse, un message s'affiche: “L'examen s'est terminé normalement.”
  • Cliquer sur “Ok” pour poursuivre. Si MBAM n'a rien trouvé, il le dira aussi. Fermer les navigateurs.
  • Si des malwares ont été détectés, afficher les résultats, sélectionner tout, supprimer la sélection,
  • MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.
  • Si MBAM demande à redémarrer le pc, accepter.

Au redémarrage, si Windows avertit que certains programmes de démarrage ont été bloqués, cliquer sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

Problèmes annnexes

RogueKiller bloqué

La lecture sur le site original est agrémentée de photos !

Certaines familles de rogues peuvent bloquer le lancement de RogueKiller, voici une méthode pour passer outre le blocage.

La méthode consiste à lancer le Poste de Travail ou Mon ordinateur. La barre d'adresse en haut doit être visible, il faut cocher dans le menu Affichage / barre d'outils / barre d'adresse. Il se peut qu'elle se plaque à droite, vous devez alors désactiver le déverrouillage, toujours à partir du menu Affichage puis barre d'outils et verrouiller les barres d'outils.

Si celle-ci n'est pas visible, vous pouvez la déplacer en cliquant dessus et en maintenant le bouton gauche enfoncé. Lacher la barre d'outils à l'endroit où vous voulez la placer.

Copier/coller l'adresse de RogueKiller : http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe et cliquez sur Enregistrer. Choisissez le bureau comme emplacement En bas dans le nom du fichier tentez de le renommer (RogueKiller.exe) sera bloqué : RogueKiller.com ou winlogon.exe ou iexplore.exe

Par exemple avec cette famille de rogue (exemple avec Internet Security 2012, renommer en RogueKiller.com ne fonctionnera pas mais Winlogon.exe

Désinfection par LiveCD

Si rien ne marche, tentez les désinfections par LiveCD Iil est important d’avoir fait les sauvegardes de vos documents avant de passer à ces alternatives, Windows peut selon l’infection ne pas redémarrer…

Désinfecter son PC avec Antivir Rescue System

Que l'on peut télécharger ici

avira-antivir-rescue-system

Désinfecter son ordinateur avec un CD Live

Utiliser un autre PC et une clé USB si le Rogue empêche l'accès au net.

WIGI

WIGI permet d'envoyer de manière anonyme l'historique de navigation afin de récupérer des adresses malicieuses et pouvoir les analyser.

Téléchargez WIGI sur le bureau: WhyIGotInfected.exe

* Lancer WhyIGotInfected.exe * Dans l'onget “History”, cliquez sur “Scan”. * Si vous êtes d'accord pour envoyer de manière anonyme votre historique pour analyse, cliquez sur “Envoi”.

Cet historique sera analysé par des spécialistes afin de retrouver des traces de ton infection pour la suivre et la prévenir.

Zébulon

resolu-infecte-par-smart-fortress

Propose également l'utilisation des deux outils Rogue Killer et MBAM.

Les faux sites de désinfection

Pcthreat

A l'occasion d'une recherche par infection par Smart fortress, ce site pcthreat.com/parasitebyid est en bonne place dans les résulats de Google,mais… c'est une arnaque.

Le verbiage ci-dessous en est la preuve “ Si vous pensez ne jamais en être victime, réfléchissez-y encore”.

Smart Fortress 2012 est une application antispyware malhonnête qui a été créée dans le but d'arnaquer les utilisateurs sans méfiance. Si vous pensez ne jamais en être victime, réfléchissez-y encore, car ce programme malhonnête est passé maître dans l'art de faire croire aux utilisateurs qu'ils sont infectés par de multiples menaces et qu'ils doivent utiliser Smart Fortress 2012 pour supprimer les logiciels malveillants nouvellement « détectés ».

Dans le meilleur des cas, il est payant et ne fait rien…dans le pire des cas, il est aussi un malware …comme un utilisateur ci-dessous en a eu la preuve. Le pseudo “Spyhunter3” ne fait rien !!

attention-faux-anti-spy

“Sur ce lien ils proposent un fichier qui corrigerait le problème ; personnellement je ne l'ai jamais eu mais ces faux logiciels sont une nouvelle manière pour les hackers de se faire plaisir ; là en plus c'est se faire de l'argent. ne jamais faire confiance à des sites dont on ne connait pas l'origine, et surtout ne jamais laisser ses coordonnées, quelles qu'elles soient, à ces sites.”

Les sites de confiance en la matière

Il faut avoir ces sites sous la main, car en ce domaine moins qu'en aucun autre, google n'est pas votre ami !

Malekal et Zebulon sont cités au dessus, mais on n'oubliera pas “Assiste.free”, qui bien que présentant des outils un peu anciens et des tutos de 2007 propose une manip préventive afin d'éviter d'être infecté…et plusieurs curatives très exhaustives.

Assiste

La crapthèque

Logiciels inutiles ou piégés ou trompeurs ou crapuleux Ne pas utiliser - Ne pas acheter - Ne pas tester

Liste de logiciels prétendant jouer dans la cour de la sécurité informatique.

Et voilà, le pseudo logiciel est bien dans la base de logiciels inutiles et trompeurs. spyhunter

Les sites_de_securite_crapuleux

Les outils

Les sites de tests en ligne de vulnérabilités

La boite à_outils hijackthis

Autres boîtes à outils

Les antivirus et les points de restauration

Les antivirus étendent votre protection contre les virus en analysant et en surveillant le dossier stockant vos points de restauration afin d'éviter que tout virus puisse s'y insérer. Si un virus entrait dans un point de restauration, il serait actif lors d'une éventuelle restauration.

Ah bon ? Direz-vous. Les points de restauration système, ce coffre-fort destiné à nous sauver la mise en cas de problème, ne sont pas si sûrs que cela ? Ils peuvent être infectés ? Et bien OUI.

Ceci est expliqué ici.

Hijackthis

Il produit un journal de tout ce qui se lance au démarrage de Windows (et liste quelques paramètres) et uniquement cela. Il centralise en une unique liste ordonnée et méthodique des informations éparpillées un peu partout dans Windows. Ce n'est pas du tout un outil d'analyse comme peuvent l'être un antivirus ou un anti-trojans.

desinfection_pc.txt · Dernière modification: 2014/08/17 11:01 (modification externe)
GNU Free Documentation License 1.3
Powered by PHP Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Valid HTML5