10 opérations pour le nettoyage rapide d'une infection

[ipl_001]

Bonsoir à tou(te)s,

 

Une tentative pour lister les opérations à effectuer dans l'ordre d'efficacité décroissante, lorsqu'on est seul devant un ordinateur infecté sans beaucoup de connaissances en matière d'infection ou/et lorsqu'on est pressé.

L'ordre d'"efficacité décroissante" annoncé l'est selon mon jugement et peut être modifié si on accorde un poids différent à la simplicité (par rapport à la rapidité).

Je vais essayer de donner une indication sur la durée de l'opération. Je tâcherai aussi de fournir (dans une partie encadrée), des explications détaillées pour ceux qui aiment savoir le pourquoi et le comment.

 

 

 

-1- Restauration système (Windows XP et Millenium) ou restauration base de registres (W9x)

(10 minutes)

A employer si XP, très pressé et infection soudaine.

(XP) : Démarrer / Tous les programmes / Accessoires/ Outils système / Restauration du système / bouton radio "Restaurer mon ordinateur à une heure antérieure" et cliquer sur Suivant / (partie gauche) 1. Sur ce calendrier, cliquez sur une date en gras ; (partie droite) 2. Sur cette liste, cliquez sur un point de restauration et cliquer sur Suivant / etc.

(W98 SE) : Démarrer en mode Dos (F5 juste après le Bios ou disquette de démarrage) / taper SCANREG /RESTORE puis Entrée / répondre aux questions (date de restauration)... ceci répond plus à des ennuis système qu'à une infection.

(possibilités -bien que réduites- avec W98 PE, W98, W95, W3.x mais nous n'entrerons pas dans les détails ici)

 

-2- Ad-Aware SE de Lavasoft ( http://www.lavasoftusa.com/ ; tutorial Fr sur http://www.lavasoftusa.com/default.shtml.fr )

(30 minutes si vous avez supprimé les fichiers temporaires -voir plus bas-)

Un utilisateur normal a toujours des logiciels de sécurité à jour sur son ordinateur

Mettre à jour si vous avez une connexion Internet.

Lancer un scan et supprimez tout ce que trouve Ad-Aware.

 

-3- examen antivirus

(cet examen est assez long ; 45 minutes si vous avez supprimé les fichiers temporaires -voir plus bas-)

Un bon utilisateur a un antivirus... s'il était efficace et à jour, il aurait probablement stoppé le malware. Peut-être a-t-il des difficultés avec la protection résidente.

Vérifier la mise à jour.

Lancer un examen sur tout le disque et supprimer tout ce qu'il trouve en notant les malwares signalés et les fichiers infectés trouvés.

Si vous avez une connexion Internet, un scan en ligne permettra d'avoir un bon AV qui n'a pas failli (pas laissé passer la bestiole) comme HouseCall de Trend Micro ( http://fr.trendmicro-europe.com/consumer/h...call_launch.php version ActiveX ou Java).

 

-4- recherche Antidotes

Si nom d'un "virus" et si accès Internet ou aide d'un autre ordinateur (ami)

(10 minutes de recherche et téléchargement, 15-20 minutes d'exécution)

(SecUser sur http://www.secuser.com/recherche/ ) : Taper le nom du malware / suivre les indications pour télécharger un antidote et les instructions de désinfection

(Web) : recherche sur Google ( http://www.google.fr/ ) de manière à trouver des outils de désinfection chez les éditeurs AV (Symantec, McAfee, etc.)

 

-5- Nettoyage rapide du disque

(10 minutes)

(des malwares se logent dans les zones de fichiers temporaires, les caches, etc.)

Démarrer / Exécuter / taper CleanMgr et cliquer sur OK / OK pour valider le choix de l'unité C: / cocher toutes les cases sauf "Compression des fichiers non utilisés" et "Fichiers catalogue d'indexation du contenu" et cliquer sur OK / OK pour valider la suppression de ces fichiers inutiles

Cette opération ne prend pas en compte tous les caches si bien qu'il est bon de poursuivre avec d'autres suppressions manuelles ou l'utilisation d'outils spécialisés dans le nettoyage du disque comme ATF cleaner d'Atribune ( http://www.atribune.org/ccount/click.php?id=1 ).

Pour un nettoyage plus poussé -inutile dans le cas d'un nettoyage rapide-, EasyCleaner-Inutiles de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm )

 

-6- MSconfig (tous OS sauf W2K -téléchargement possible de la version 2000)

(5 minutes)

(Démarrage login ou All Users pas nécessaire, RegEdit-clés RUN pas nécessaire)

Démarrer / Exécuter / taper MSconfig et cliquer sur OK / onglet Démarrage / décocher les cases devant les lignes douteuses (MSconfig permet de revenir en arrière en recochant les cases).

Redémarrer la machine.

 

-7- Gestionnaire des tâches

(5 minutes)

Ceci nécessite certaines connaissances mais ce n'est pas interdit à un homme pressé car c'est une des meilleures solutions.

Alt-Ctrl-Suppr / Gestionnaire des tâches / onglet Processus / cliquer sur l'entête Processeur pour classer les processus dans l'ordre décroissant d'occupation de la CPU (Processus inactif du système est le complément à 100 %... de non utilisation de la CPU ! Ne pas tenter de supprimer LOL vous n'y arriveriez pas !) / s'il y a un processus qui vous prend 99 %, voila un bon coupable ! / essayer de le stopper / si c'est bon, ne redémarrez pas !!!

Un processus est un module en mémoire qui a été placé là parce qu'un autre événement l'y a envoyé (service, programme au démarrage, programme lancé manuellement)

 

-8- Stinger de McAfee ( http://vil.nai.com/vil/stinger/ )

(20 minutes de scan)

A tout hasard, si symptômes d'infection mais pas de nom.

Si accès Internet ou aide d'un autre ordinateur (ami)

 

-9- recherche Fiches de désinfection

Si accès Internet ou aide d'un autre ordinateur (ami)

(Web) : recherche Google de manière à trouver des instructions de désinfection chez les éditeurs AV (Symantec, McAfee, etc.)

(Web) : recherche Google de manière à trouver des instructions de désinfection sur les forums de discussion (certains sont meillleurs que d'autres LOL)

(Web) : recherche de fiches de désinfection sur les sites/forums spécialisés (BleepingComputer, PChelp, etc.)

 

-10- protection minimale

Si vous avez réussi à retrouver assez de vigueur pour continuer à travailler, déconnectez vous de l'Internet si ce n'est pas nécessaire. Sinon, si vous n'avez pas mieux, activez le pare-feu de Windows et le bloqueur de pop-up.

 

 

 

Suggestions et commentaires souhaités...

 

 

 

----- notes pour moi :

- ne faut-il pas remonter le débranchement du cable (si pas besoin de liaison Internet)

- ne faut-il pas remonter l'examen des processus en cours (Gestionnaire des tâches) : rapide et efficace pour ceux qui connaissent

- Regedit pour recherche clés RUN HKU\.DEFAULT

- expliquer lancement en mode sans échec s'il est impossible de travailler en mode normal...

- procédure temporaire, nécessité de nettoyer à fond car un malware trouvé cache souvent 5 autres malwares.

 

- plus de lancement d'exécutable -> FixSwen de McAfee sur http://download.nai.com/products/mcafee-avert/Fixswen.inf

 

- page de démarrage IE piratée, essayer de remettre en place et si pas possible, forum Zeb'Sécu

 

- fond d'écran piraté, SmitfraudFix de S!Ri sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

- post sur désinfection manuelle.

[ipl_001]

Bonsoir kito, bogues007, bonsoir à tous,

 

Messages : 1

Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

kito, j'ai déplacé ton message pour en faire une nouvelle discussion :

"Désinstaller Norton AV" -> http://forum.zebulon.fr/index.php?showtopic=87793 sur le forum "Optimisation, Sécurisation, Prévention"

[claude 007]

Bonjour

 

Moi quand je suis infecté je place le fichier en quarantaine et je le supprime

[Xeti]

Bonjour,

A mon avis le mieu, c'est de d'abord déterminer de qu'elle bestiole il s'agir et ensuite passer en mode sans échec pour faire le nettoyage. Question rapidité, le mode sans échec est plus efficace.

 

@+

 

Xetie

[pipi05]

Bonjour à tous,

 

Bon post mais il manque la détection d'une menace nommé "Rootkit".

De plus en plus de malwares utilisent la technique des rootkits pour se dissimuler sur votre ordinateur et deviennent ainsi indétectables par les protections classiques que sont les antivirus et antispywares.

Les processus cachés n'apparraissent pas dans le MSConfig, ni dans le gestionnaire de tâches.

Seul un logiciel spécialisé peut les détecter.

 

Définition : Un Rootkit est un logiciel, ou une technique permettant à un individu malveillant de dissimuler son activité aux yeux du système. La présence d'un rootkit est difficile a détecter. Ce dernier est capable de dissimuler son existence et son activité aux utilisateurs ainsi qu'aux moyens de détection classiques (antivirus, antispywares). Les trojans, keyloggers, ou (par exemple) les vers peuvent utiliser la technique des Rootkits pour se rendre invisible et donc indétectable par les moyens de détections classiques. Mais on peut aussi s'en servir caché un dossier.

 

Pour vous aidez : un test de logiciels AntiRootkit : http://id-reseaux.info/blog/index.php?2007...s-anti-rootkits

Un lien vers une trentaines de logiciels anti-rootkits : http://id-reseaux.info/antirootkit.html

 

Bonne détection !