Windows > Windows : Généralités > Sécurité / Virus > Méthodes de désinfection

Antivirus : Méthodes de désinfection

Déplacé pages suivantes :

 

Attention Le plus simple, à faire en premier, en cas d'infection : Utiliser Malewabytes (voir ma page)

Voir aussi mes pages sur les antispyware :

Voir également sur ce site :

 

 

Méthodes de désinfection :

Ce sont plus des pistes et des informations que je donne, plus qu'une méthode sûre et efficace.
C'est basé sur mon expérience personnelle. Mais il y a bien plus compétent que moi (voir les liens que je donne en complément)

 

Un virus, c'est en général un programme comme les autres.
Il est invisible pour l'utilisateur moyen. Mais on peut retrouver facilement sa présence.
il s'active et se propage par ses propres moyens (exemple : à l'insertion d'une clé USB infectée, le virus se copie sur le disque dur).
Sa nocivité est plus ou moins importante selon les actions qu'il est programmé pour effectuer
Il ne risque pas d'endommager *physiquement* l'ordinateur, mais il peut rendre celui-ci inutilisable (nécessiter une réparation ou une réinstallation de Windows) et pire, endommager ou rendre inaccessibles les données.
Le plus souvent, le virus s'installe en mémoire, et le premier symptôme, c'est une lenteur inhabituelle du système.
Mais il peut y avoir d'autres effets.

 

Lorsqu'un ordinateur est infecté, il y a plusieurs façons d'éradiquer le virus ou le malware.

 

Il y a deux opérations distinctes : Identification et éradication

- Identification
- Eradication.
Il faut identifier le virus pour connaître la façon de l'éradiquer.
Avec un bon antivirus ou un virus simple à supprimer, cela pourra se faire en une seule fois. Mais ça n'est pas toujours le cas;
Exemple : un antivirus en ligne identifiera le virus, mais il faudra un utilitaire de désinfection pour l'éradiquer.

 

La principale difficulté : le virus se charge en mémoire au démarrage

Lorsque le virus a réussi à s'installer sur l'ordinateur (en contournant l'antivirus), il est présent dans le dossier Windows, il s'est inscrit dans la Base de Registre pour se lancer automatiquement au démarrage de l'ordinateur.

C'est un programme "résident" (voir ma page)

Il faudra donc, empêcher qu'il se lance au démarrage, et l'effacer du disque dur.
Exemple : on désactive le processus avec HiJackThis. Au démarrage suivant, on le supprime du système.

Mais les virus ont parfois plus d'un tour dans leur sac.
On les sort par la porte, et ils rentrent par la fenêtre...

 

A faire en premier : le ménage dans les fichiers.

Vider les dossiers temporaires et les caches Internet.
Car nombre de virus, trojans, se mettent dans les dossiers temporaires.
Inutile de perdre du temps à scanner des dossiers de fichiers inutilisés.

- Voir ma page : Logiciel - CCleaner

 

Plusieurs étapes :

D'abord, avec l'antivirus. Lorsque ce dernier détecte un intrus, il le signale.
Cependant, si le virus est chargé en mémoire, il ne pourra pas le supprimer.
Il pourra, éventuellement, tenter de le désactiver au prochain démarrage.

On peut utiliser HijackThis. HiJackThis liste les processus qui se lancent au démarrage de l'ordinateur. Il identifie les entrées suspectes et peut désactiver leur lancement.
Mais si le virus est présent dans le dossier Windows (system 32), il va se recharger en mémoire au démarrage suivant.

On peut démarrer l'ordinateur en mode sans échec (appuyer sur F8 au démarrage). Windows se lancera en configuration minimale et on pourra supprimer le(s) fichier(s) malsain(s).

On peut effectuer un contrôle avec un antivirus en ligne, à partir du navigateur Internet. En général peu efficace pour la suppression, il pourra néanmoins identifier et localiser un virus ou un malware.

Puis viennent les solutions plus "lourdes" :
- Utiliser un utilitaire de désinfection (si on connaît le virus à éliminer)
- Graver un CD-ROM de démarrage contenant un antivirus,
- démonter le disque dur et le mettre dans un boitier USB

 

Quelques liens pour approfondir :

*Le* forum de référence où on trouve de l'aide pour éradiquer spywares et malwares :
http://forum.malekal.com/

 

Assiste.com : un site également spécialisé dans la connaissance et l'éradication de virus et spyware

 

 

Désinfection avec l'antivirus :

L'idéal est d'éliminer le virus avec l'antivirus installé sur l'ordinateur.
La première chose à faire est donc un scan complet de l'ordinateur avec l'antivirus.

 

Exemple d'alerte avec Antivir :

Quand Antivir détecte un fichier infecté, il affiche une alerte :

Alerte Antivir

Ici, il s'agit d'un fichier spyware qui tente de se connecter sur Internet.
La solution par défaut : Refuser l'accès. Mais ça ne résoud pas le problème, car le fichier est toujours là.
En cas de doute, on peut choisir : Déplacer en quarantaine.
La solution la plus "radicale" : Supprimer (c'est ce qu'il y a de mieux à faire pour un fichier de programme).

Malheureusement, le déplacement ou la suppression sont rarement possibles, car le malware ou le virus est en activité, et son emplacement ne peut être modifié.
Il faudra le supprimer *avant* qu'il ne s'installe en mémoire. Ou, autrement dit, l'empêcher de se charger en mémoire au démarrage de l'ordinateur.

 

 

Utilisation de Malwarebytes :

Malwarebytes est le logiciel le plus simple à utiliser.
Il permet d'éradiquer les principaux malwares qui peuvent entraver le fonctionnement de Windows

- Voir ma page : Malwarebytes

 

 

Utilisation de HiJackThis :

HiJackThis liste les processus qui se lancent au démarrage de l'ordinateur. Il identifie les entrées suspectes et peut désactiver leur lancement.
Mais si le virus est présent dans le dossier Windows (system 32), il va se recharger en mémoire au démarrage suivant.

- Voir ma page : HiJackThis

 

 

Méthodes de base :

Le virus est souvent un programme qui se lance au démarrage de l'ordinateur, "en tâche de fond" (de façon invisible pour l'utilisateur). Lorsqu'il est en fonctionnement, il sera impossible de l'éradiquer.

On pourra utiliser les méthodes suivantes :

1 - Démarrer en mode sans échec (appuyer sur F8 au démarrage) :
Ainsi, on démarre l'ordinateur avec une configuration minimale. Si le virus ne s'active pas dans ce mode, on pourra le supprimer.

2 - Démarrer l'ordinateur avec un autre système :
Si le mode sans échec ne permet pas de désactiver le virus, il faudra, au choix :
- démarrer l'ordinateur avec un autre système installé sur un autre disque ou une autre partition (en cas de multiboot),
- démarrer l'ordinateur avec un CD-ROM bootable contenant un antivirus à jour (voir ci-dessous)

3 - Monter le disque dur contenant le système infecté sur un autre ordinateur :
- démonter le disque dur, et l'installer en "esclave" sur un autre ordinateur, ou par l'intermédiaire d'un boitier externe USB.
Attention à ce que ça ne soit pas un virus de boot. On risquerait d'infecter l'autre ordinateur.

 

 

Utilitaires de désinfection :

Si un antivirus est nécessaire pour se protéger des virus, s'il est capable de les identifier, il n'est pas forcément capable de les éradiquer.
Il faudra donc, en premier, télécharger un utilitaire de désinfection spécifique au virus identifié.

 

Utilitaires de désinfection sur Secuser.com :
http://www.secuser.com/telechargement/desinfection.htm

Après avoir identifié un virus (par l'antivirus de l'ordinateur ou par un contrôle en ligne) on peut télécharger l'utilitaire de désinfection sur le site secuser.com

 

McAfee Labs Stinger
Programme de petite taille (1 Mo) qui permet d'éradiquer les derniers virus :
http://www.mcafee.com/us/downloads/free-tools/how-to-use-stinger.aspx

29/03/2009 : Utilisé pour détecter / supprimer des trojans : il n'a rien détecté alors que le disque était bien infecté.

 

Il existe aussi :

Sysclean de Trend Micro :
http://esupport.trendmicro.com/solution/en-us/1037133.aspx
avec les définitions de virus :
http://www.trendmicro.com/download/pattern.asp

Malicious Software Removal Tool de Microsoft :
http://www.microsoft.com/en-us/download/malicious-software-removal-tool-details.aspx

 

Removal Tools de Symantec :
http://www.symantec.com/avcenter/tools.list.html

 

 

Désinfection des lecteurs amovibles :

Clés USB et disques durs externes peuvent véhiculer des virus.

Pour les nettoyer, on peut utiliser RAV :

2013 : RAV ne semble plus disponible. Lien obsolète.

Télécharger Rav :
http://www.evosla.com/evosla_soft/rav-antispy.html

RAV est un soft qui traite les virus et vers qui se trouvent dans les racines des lecteurs fixes et amovibles.
La liste des virus/vers se constitue des virus et sera mis a jour en fonction des virus/vers repertoriés par nos amis.

Désinfecter une clé usb/disque amovible :
* Télécharge Rav
* Brancher les disques amovibles sans les ouvrir avant de lancer le Fix
* Décompresser l'archive sur le bureau
* Double-cliquer sur RAV.exe pour lancer l'outil
* Une fois RAV lancé, il scannera automatiquement tous les lecteurs susceptibles d'être infectés
* S'il y a infection un rapport s'établira, sinon le soft affichera le message : « Votre Ordinateur est sain »
* Retirer les disques amovibles et redémarrer l'ordinateur.

RAV : Nettoyer les lecteurs amovibles

 

Voir aussi :

Contamination par les lecteurs amovibles :
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm

 

 

Anti-Troyens :

Un Trojan (cheval de Troie) est un programme qui permet de prendre le contrôle d'un ordinateur à distance, ou de transmettre des données par le web à l'insu de son utilisateur (voir).
D'après Roland Garcia : "un bon trojan est difficile à supprimer car il est souvent référencé en trois endroits."

Logiciels spécialisés dans l'éradication des Trojans (Cheval de Troie)
a-squared Free : http://www.emsisoft.net/fr/software/download/
The Cleaner : http://www.moosoft.com/

 

 

Autres :

 

Réparer le secteur de boot :

Un virus peut endommager le secteur de boot et empêcher le démarrage de l'ordinateur.
C'est la situation la plus grave et la plus compliquée.

Bien se documenter avant d'entreprendre quoi que ce soit.

Pour info.

informatruc.com - Comment réparer Vista avec ou sans DVD d'installation

 

Utilisation de Hiren's BootCD avec les logiciels mbrwizard et mbrwork

D'après pxg du foum fr.comp.securite.virus :
"Si tu veux éradiquer un trojan dans l'amorce qui "pourrait" utiliser le 446 octets du MBR et éventuellement les secteurs suivants de la piste 0 : utilise un outil comme MBRWizard ou MBRWork (voir Hirens's BootCD) :

- en premier lieu tu sauvegardes le ou les secteurs concernés et
- ensuite tu le(s) effaces (commande wipe)
- utilise un outil comme TestDisk pour reconstruire la table des partitions,
- puis les CD de tes systèmes (Vista, Linux, ...) pour reconstruire leur amorçage"

Il existe des commandes pour reconstruire le MBR seul - dont bootrec /fixmbr - lesquelles t'éviteraient le risque de perte de tes partitions par l'effacement brutal du premier secteur du disque...

...

... Si tu es certain de ce que tu fais, après écrasement de ton système tu peux reconstruire l'amorçage de Windows XP en console de réupération avec la commande "bootcfg /rebuild"."

 

 

Désactiver la restauration système pour supprimer un virus :

A partir de Windows Me, et également sous Windows XP, Vista, 7, la fonction de Restauration du système permet de revenir à une configuration précédente en cas de problème.
Pour cela, les fichiers importants de Windows sont sauvegardés périodiquement dans un dossier :
Restore (Me) ou System Volume Information (Windows XP, Vista, 7)

En cas d'infection par un virus, des fichiers infectés peuvent être sauvegardés dans le dossier de sauvegarde..
Ces fichiers, bien qu'étant infectés, ne seront pas dangereux puisqu'ils ne seront pas utilisé par Windows.
L'antivirus les détectera... mais il ne pourra pas les isoler ou les supprimer, car il ne pourra pas accéder au contenu du dossier Restore.

Il faudra désactiver la fonction de restauration, afin d'accéder au dossier Restore, et supprimer ces fichiers manuellement.

 

xp Sous Windows Vista / Windows 7 :

1 - Désactiver la restauration du système :

- cliquer avec le bouton droit sur Ordinateur,
- sélectionner Propriétés,

Dans Système et sécurité, Système
A gauche :
- cliquer sur "Protection du système"

Dans Propriétés système :
- onglet Protection du système,
- sélectionner le lecteur contenant le système d'exploitation (Windows C:)
- cliquer sur "Configurer..."

Dans la fenêtre "Protection système pour ... (C:)
- cocher "Désactiver la protection du système".
- cliquer sur Appliquer, cliquer sur OK.

Etc.

 

xp Sous Windows XP :

1 - Désactiver la restauration du système :

- cliquer avec le bouton droit sur Poste de Travail,
- sélectionner Propriétés,

Dans Propriétés système :
- onglet Restauration du système,
- cocher "Désactiver la restauration du système sur tous les lecteurs".
- cliquer sur Appliquer, cliquer sur Oui.

 

2 - Redémarrer l'ordinateur en mode sans Echec :

- appuyer sur F8 au démarrage,
Dans le menu :
- sélectionner "Mode sans Echec".

Lancer l'antivirus.

 

3 - Réactiver la restauration du système :

- cliquer avec le bouton droit sur Poste de Travail,
- sélectionner Propriétés,

Dans Propriétés système :
- onglet Restauration du système,
- décocher "Désactiver la restauration du système sur tous les lecteurs".
- cliquer sur Appliquer, cliquer sur Oui.

 

4 - Créer un nouveau point de restauration :

- menu Démarrer, Tous les programmes, Accessoires, Outils système, Restauration du système,

Dans Restauration du système :
- cocher "Créer un point de restauration",
- etc.

 

Sous Windows Millenium :

1 - Désactiver la Restauration du système :

- cliquer avec le bouton droit sur Poste de Travail,
- sélectionner "Propriétés",

Dans Propriétés système :
- onglet "Performance",
- cliquer sur "Système de fichiers",
- cliquer sur "Dépannage",
- cocher "Désactiver la restauration du système",
- cliquer sur Appliquer,
- cliquer sur Fermer.

2 - Redémarrer l'ordinateur en mode sans échec :

- cliquer sur "Oui" pour redémarrer l'ordinateur,
- appuyer sur Ctrl au redémarrage pour redémarrer en mode sans échec (voir)

La Restauration du système étant désactivée, on pourra lancer un examen des fichiers avec l'antivirus, et supprimer les fichiers infectés.

3 - Redémarrer l'ordinateur normalement.

4 - Réactiver la Restauration du système :

- cliquer avec le bouton droit sur Poste de Travail,
- sélectionner "Propriétés",

Dans Propriétés système :
- onglet "Performance",
- cliquer sur "Système de fichiers",
- cliquer sur "Dépannage",
- décocher "Désactiver la restauration du système",
- cliquer sur Appliquer,
- cliquer sur Fermer.

 

Liens :

FAQ du forum de discussion Usenet fr.comp.securite.virus (obsolète) :
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5

(texte en anglais)