Infection Nettoyage Prévention

[Nestor345]

Bonjour, Message en double suppimé par Nestor. 03/11/05 20H30.

Voir page 2, post édité (avec suggestion des experts, agrémenté à ma sauce).

édité ce 04/11/2005. Nestor

 

Comme le système cafouille un peu (3 posts au lieu de 2), je ne vire pas ce qui précède.

Voici le post édité (qui devrait se trouver seulement en 2ème page):

 

Nettoyage – procédure. Voici un mini tuto.

 

Tu peux commencer par un petit nettoyage du système. La liste peut paraître longue, mais est nécessaire.

0) Préparation :

1. Utiliser le « mode sans échec » chaque fois que possible, afin de démarrer dans la config susceptible de présenter le moins de problèmes. => Tapoter F8 au redémarrage du PC,

Immédiatement après le 2ème écran « Noir / Blanc ».

2.a) Stopper tout processus actif (vérifier via le gestionnaire des tâches : Ctrl Alt Del).

b) Stopper les processus récalcitrants si nécessaire (CopyLock) (freeware sur clubic.com).

- Copylock.exe > Add > Folder to Delete (Dossier à effacer) → L’explorateur Windows apparaît et tu sélectionnes le programme à virer (+ Apply + Close).

3. Si ton sytème est englué, répond difficilement, passe directement à HijackThis (étape 6).

4. Désactiver la restauration système ( ! Cela supprime tous les points antérieurs):

NB : Les anti-virus ne scannent pas certains fichiers cachés par le système ; il est donc nécessaire de la désactiver. (Démarrer > Tous les progr. > Accessoires > Outils Système > restauration).

5. Désactiver les fichiers cachés :

- Panneau Config > Apparences & Thèmes > Options des Dossiers (onglet Affichage)

- Cocher « Afficher Fichiers & Dossiers cachés ».

- Décocher « masquer les extensions de fichiers dont le type est connu ».

- Décocher « masquer les Fichiers protégés du Système d’Exploitation ».

 

1) EasyCleaner => Fichiers inutiles + base de registre

* Télécharge EasyCleaner : http://personal.inet.fi/business/toniarts/ecleane.htm

* Ouvre EasyCleaner. N'utilise que les fonctions Inutiles et Registre. Supprime tout ce qu'il te propose. Surtout ne pas toucher à la fonction « Doublons ».

 

2) Ccleaner => Fichiers inutiles

* Télécharge Ccleaner : http://www.ccleaner.com/ccdownload.asp

* Lance et exécute Ccleaner

*Supprime tout le contenu de Prefetch (C:\WINDOWS\Prefetch<--Tout le contenu).

 

3) Examen antivirus en ligne avec Internet Explorer

- http://www.secuser.com/antivirus/

- ou http://www.bitdefender.fr/scan8/ie.html

- ou http://housecall60.trendmicro.com/en/start_corp.asp

- ou http://www.kaspersky.com/downloads/kws/kavwebscan.html

- ou Panda : (si ton antivirus n'est pas AVAST) (le scan de Panda provoque l'alerte d'un faux

positif lors d'un prochain scan avec AVAST) http://www.pandasoftware.com/fr

Clic sur PandaActiveScan en bas à gauche.

- ou si tu utilises le navigateur Mozilla Firefox (ne nécessite pas d'activeX, mais JavaSun) :

Trend Micro → http://fr.trendmicro-europe.com/consumer/p...call_launch.php

Cliquer sur Check my PC---------> puis cocher I agree…..-------> Continue with Next Step

 

4) A2 => Examen Anti-Trojan

http://www.emsisoft.net/fr/software/free/ (Il est nécessaire de s'enregistrer pour utiliser A2.)

* Mets bien à jour et supprime tout ce qu'il trouve.

 

5) SpyBot + Ad-aware => Examen antispyware (tous les 2 car complémentaires)

*SpyBot-Search & Destroy

http://spybot.safer-networking.de/fr/download/index.html

Son tuto : http://assiste.free.fr/index.html → Cliquer sur « Spy » au centre de l’écran + « Viiiite - le meilleur anti-spyware?».

*Ad-aware SE (Personal Edition) 1.6

http://telechargement.zebulon.fr/category-7.html

tutorial : http://tutopat.hostonet.org/viewtopic.php?t=207

 

6) Hijackthis => Scan du PC

Si tu as toujours ton problème, télécharge HijackThis 1.99.1

Utiliser seulement la fonction « Do a system scan & save a logfile ». + Copier/Coller le rapport sur le forum. Attendre une réponse.

http://telechargement.zebulon.fr/160-Patch...his-1.99.1.html

NB : * s'assurer que "Make backups before fixing items" est activé par défaut.

[cliquer sur « Config » en bas à droite].

Tuto sur : http://forum.hardware.fr/hardwarefr/Window...et-171913-1.htm

 

NB : Les spécialistes en sécurité conseillent d’appliquer HijackThis après la suppression des fichiers temporaires et le scan antivirus en mode sans échec. Plus prudent si affaire à un rebelle. Le navigateur est souvent englué par des malwares.

Dans ce cas il faut donner la priorité à Hijack.

Procéder comme ci-dessous expliqué. Et poster un log Hijack dans un forum. Attendre une réponse. Surtout, évitez d’aller sur internet ; limitez au strict nécessaire, tant que les processus malveillants n’ont pas été neutralisés.

Donc : Dans un 1er temps appliquez les étapes A) et B) ci-après. Puis lancez HijackThis.

A) Nettoyer les fichiers temporaires

*) Suppression des fichiers inutiles :

Démarrer => Exécuter => tape CleanMgr => clique OK => OK pour accepter l'examen

du disque C:/

Coche toutes les cases => clique sur OK =>OK pour confirmer la suppression des

fichiers inutiles.

*) Lancement de l'Explorateur Windows : supprimer le contenu de :

« C:\Temp » et « C:\Windows (ou WinNT)\Temp »

« C:\Program files\AVPersonal\Infected

*) Supprime tout le contenu de Prefetch : C:\WINDOWS\Prefetch

B) Nettoyer le fichier Hosts (redirections merdiques du navigateur).

C:\windows\System32\drivers\etc\Hosts

Conserver la 1ère ligne : localhosts127.0.0.1. Supprimer tout le reste.

Mettre à jour lorsque tout sera revenu à la normale. Mise à jour via un forum

(assist.com ou zebulon.com par ex). Pas via une recherche google! Trop aléatoire.

 

7) S’informer et adopter une attitude préventive.

Il ne sert à rien de chasser l’intrus par la porte, s’il peut rentrer à nouveau par la fenêtre.

* http://forum.zebulon.fr/

* http://forum.pcastuces.com/default.asp

* Démo animées de logiciels : http://forum.hardware.fr/hardwarefr/Window...reReseaux/demo- anime-spyboot-hijackthis-autres-sujet-218433-1.htm (→ Copier/coller dans le navigateur).

Modifié le 4 novembre 2005 par Nestor345

[Invité tesgaz]

Salut,

 

notre procédure de nettoyage ne te convient pas ?

[Nestor345]

Re,

Pas de problème. Mais j'ai été un peu découragé la 1ère fois que j'ai fait connaissance avec une infection.

Tuto assez long ou alors j'aurais souhaité un pas-à-pas pour me guider.

Je parle en général. Je ne vise aucun site ou tuto en particulier.

Nestor.

PS: j'ai été un peu déçu de la présentation de ce que j'ai transféré sur le site. Les têtes de rubriques 1 à 7 ne sont pas assez mises en évidence. Cela semble un peu confus. La présentation de word était complètement différente (tableau). Peut-être qu'un modo réarrangera le message? A vous de voir.

On verra bien à l'usage, ce que les lecteurs en penseront...

[Invité farphe]

PS: j'ai été un peu déçu de la présentation de ce que j'ai transféré sur le site. Les têtes de rubriques 1 à 7 ne sont pas assez mises en évidence. Cela semble un peu confus. La présentation de word était complètement différente (tableau). Peut-être qu'un modo réarrangera le message? A vous de voir.

ben rien ne t'empêche d'éditer ton message, sauter des lignes entre les paragraphes et utiliser des marqueurs du genre gras ou italique ou souligné ça rend tout de suite plus clair, sans déranger un modo pour ça...

 

quant à la procédure de nettoyage de zebulon, je la trouve déjà très bien...

Modifié le 2 novembre 2005 par farphe

[Invité tesgaz]

relis bien notre procédure, tu comprendra qu'elle n'est pas fouilli

http://forum.zebulon.fr/index.php?showtopic=69176

 

maintenant, on peut eclaircir quelques points qui te parraissent obscurs

Modifié le 2 novembre 2005 par tesgaz

[Nestor345]

Re,

La procédure que tu proposes est très claire. Toutefois, elle offre une place centrale à Hijackthis.

Par conséquent, le lecteur débutant est plus dépendant d'une bonne volonté extérieure. En outre, Hijack est techniquement "repoussant" pour un néophite, ayant appris sur le tas, venu à l'informatique parce qu'il faut bien évoluer avec le monde dans lequel nous vivons...

Dans l'approche que je propose, le béotien que je fus (stade par lequel tout le monde passe), se prend en charge immédiatement. Le pas- à-pas est clair, du moins je l'espère.

Il ne recourt à Hijackthis qu'au stade ultime. Ainsi, il soulage les modos...

Nestor

PS: On n'est pas obligé d'être d'accord sur tout. Je crois que ma formation professionnelle me permet de donner qqes conseils didactiques (enseignant).

 

 

Re,

Message pour Zorro.

Evidemment, on peut passer à Linux, et / ou ne plus surfer, rester chez soit et ne plus brancher un appareil électrique sous risque d'implosion, ou que sais-je, du même genre.

Nestor.

[megataupe]

Bonjour Nestor. Merci de tes bonnes intentions mais désolé de te décevoir

car si tu estimes pouvoir éliminer les nouvelles véroles avec ta procédure

et à l'aide d'outils bien connus (et appréciés hors réelle infection), sans passer

au préalable par HijackThis, permets moi de te dire que tu fais totalement

fausse route et que tu risques d'induire en erreur l'internaute qui suivrait tes

conseils à la lettre.

[Invité tesgaz]

mais, il n'y a pas de soucis de conseils,

 

c'est juste que de dire aux beotiens de dire, dés le départ :

stoper tous les processus actifs --> oui, lesquels ?

 

imagines, que le malware interdise la fonction (ctrl + alt + suppr) donc déja impossible de supprimer un processus

 

b) Stopper les processus récalcitrants si nécessaire (CopyLock) (freeware sur clubic.com). --> svchost.exe ou winlogon.exe sont des processus récalcitrants, comment notre béotien pourra faire la différence ?

 

ma réponse personnelle :

le mode sans échec a l'avantage de supprimer tous les processus actifs en dehors de ceux obligatoires de Windows, donc une seule opération simple et efficace

 

 

après tu demandes de passer des antivirus en ligne,

 

ma réponse :

dans la plupart des cas, certaines options du navigateur sont engluées par les malwares, c'est de nouveau proposer au béotien de continuer de choper d'autres malwares, sans compter des fichiers hosts trafiqués qui interdisent tout téléchargement vers des sociétés d'antivirus

c'est également le fait qu'un antivirus en ligne prend plus de temps à scanner qu'un antivirus traditionnel,

c'est également le fait qu'un antivirus en ligne supprime rarement les fichiers infectés

etc...

 

 

voila, juste un point de vue personnel qui n'engage que moi dans le pré-nettoyage d'un pc infecté sur seulement 2 points de ton exposé

 

 

je veux bien faire un tuto pour expliquer comment démarrer en mode sans échec,

je ferais une image de ma touche F8,

et je mettrais une belle image du choix de sélection :

 

 

pour le autres trucs compliqués, il faut nous le dire, on essayera de faire un effort ou quelques tutos supplémentaires afin que le béotien comprenne facilement

[Nestor345]

Re Megataupe, Tesgaz,

je m'incline devant les grands sages : il n'y a que les sots qui ne change pas d'avis.

Post pour Megataupe : Est-ce si grave de terminer par HijackThis et d'attendre une réponse, après avoir fait le nettoyage des malwares quelques peu accomodants? Ok, les "Gros bras" ne se laisseront pas virer facilement.

Que penses-tu de la 1ère partie de la question? Je m'informe.

Post pour Tesgaz :

1) "stopper tous les processus actifs" --> oui, lesquels ?

Réponse: Ceux qui apparaissent à l'écran dans le gesstionnaire des tâches (ctrl alt del).

2) "Stopper les processus récalcitrants si nécessaire (CopyLock) (freeware sur clubic.com). "

=> svchost.exe ou winlogon.exe sont des processus récalcitrants, comment notre béotien pourra faire

la différence ?

Réponse: Tu as entièrement raison. Dans ce cas, il vaut mieux donner une place centrale

à HijackThis.

Votre expérience anticipe les cas difficiles. On ne pourra pas vous reprocher de "Défaut

de prévoyance".

3) "le mode sans échec a l'avantage de supprimer tous les processus actifs en dehors de

ceux obligatoires

de Windows, donc une seule opération simple et efficace".

Réponse: Encore d'accord. J'ai volontairement mis cet aspect sous silence, car difficile pour un béotien.

Si cela ne fonctionne pas avec la procédure allégée, après envoi du log hijack à un modo (étape N° 6),

il est toujours temps d'appliquer la procédure complète d'éradication.

Nestor

[AgnesD]

Bonjour a tous

 

En ce qui me concerne j'applique une méthode se rapprochant plutôt de celle de Nestor345, plus longue certes que la votre. (Bon on est pas des gros bras c'est vrai )

 

Mais peu importe chacun fait comme il veut, seul le résultat compte .

Se sentir a l'aise avec la méthode employée permet aussi de mieux gérer le dépannage.

De toute façon selon l'ampleur des dégàts, on en arrive toujours (ou presque ) a HJT

 

Vu la quantité d'infections je comprends qu'il faille traiter vite mais c'est aussi a ce moment là (bien dans la mouise) que l'internaute sera plus réceptif a un message préventif...

Utiliser des outils comme AD-aware ou Spybot Spywareblaster permet aussi de mettre en place une politique de prévention...

Parfois certains débutants éprouvent déja du mal a se servir de ces logiciels et ne les ont pas d' installés sur leurs PC.

C'est l'occasion de le faire...

Je reconnais qu'arrrivé a un certain niveau de connaissances ce genre de logiciel est quasi inutile mais...en attendant ils aident bien un peu.

 

maintenant, on peut eclaircir quelques points qui te parraissent obscurs

Moi j'aurais une question.

C'est au niveau d'antivir...

N'y a t'il aucun risque a l'installer sur un pc déjà pourvu d'un anti virus et éventuellement déja "fatigué" sur lequel on ne sais pas toujours ce qu'il y a comme logiciel ? (parfois déjà deux AV ?)