Antivirus : Méthodes de désinfection

Méthodes de désinfection Utilisation de l'antivirus Utilisation de Malwarebytes Utilisation de HiJackThis Les méthodes de base Antivirus en ligne Utilitaires de désinfection Désinfection des lecteurs amovibles

CD-ROM de désinfection Bitdefender Rescue CD Avira AntiVir Rescue System Kaspersky Rescue Disk 10 UBCD4Win (Ultimate Boot CD for Windows) Autres Réparer le secteur de boot Désactiver la restauration du système pour supprimer un virus

 

Le plus simple, à faire en premier, en cas d'infection : Utiliser Malewabytes (voir ma page)

Voir aussi mes pages sur les antispyware :

• - SpyBot (toujours recommandé pour la prévention / surveillance)
• - Malwarebytes : à utiliser en premier
• - HijackThis, etc. (des outils efficaces pour la désinfection)
• - Adaware (dépassé, à éviter)

Voir également sur ce site :

• - Les spams
• - Sécurité sur Internet

 

 

Méthodes de désinfection :

Ce sont plus des pistes et des informations que je donne, plus qu'une méthode sûre et efficace.
C'est basé sur mon expérience personnelle. Mais il y a bien plus compétent que moi (voir les liens que je donne en complément)

 

Un virus, c'est en général un programme comme les autres.
Il est invisible pour l'utilisateur moyen. Mais on peut retrouver facilement sa présence.
il s'active et se propage par ses propres moyens (exemple : à l'insertion d'une clé USB infectée, le virus se copie sur le disque dur).
Sa nocivité est plus ou moins importante selon les actions qu'il est programmé pour effectuer.
Il ne risque pas d'endommager *physiquement* l'ordinateur, mais il peut rendre celui-ci inutilisable (necessiter une réparation ou une réinstallation de Windows) et pire, endommager ou rendre inaccessibles les données.
Le plus souvent, le virus s'installe en mémoire, et le premier symptôme, c'est une lenteur inhabituelle du système.
Mais il peut y avoir d'autres effets.

 

Lorsqu'un ordinateur est infecté, il y a plusieurs façons d'éradiquer le virus ou le malware.

 

Il y a deux opérations distinctes : Identification et éradication

- Identification
- Eradication.
Il faut identifier le virus pour connaître la façon de l'éradiquer.
Avec un bon antivirus ou un virus simple à supprimer, cela pourra se faire en une seule fois. Mais ça n'est pas toujours le cas;
Exemple : un antivirus en ligne identifiera le virus, mais il faudra un utilitaire de désinfection pour l'éradiquer.

 

La principale difficulté : le virus se charge en mémoire au démarrage

Lorsque le virus a réussi à s'installer sur l'ordinateur (en contournant l'antivirus), il est présent dans le dossier Windows, il s'est inscrit dans la Base de Registre pour se lancer automatiquement au démarrage de l'ordinateur.

C'est un programme "résident" (voir ma page)

Il faudra donc, empêcher qu'il se lance au démarrage, et l'effacer du disque dur.
Exemple : on désactive le processus avec HiJackThis. Au démarrage suivant, on le supprime du système.

Mais les virus ont parfois plus d'un tour dans leur sac.
On les sort par la porte, et ils rentrent par la fenêtre...

 

A faire en premier : le ménage dans les fichiers.

Vider les dossiers temporaires et les caches Internet.
Car nombre de virus, trojans, se mettent dans les dossiers temporaires.
Inutile de perdre du temps à scanner des dossiers de fichiers inutilisés.

 

Plusieurs étapes :

D'abord, avec l'antivirus. Lorsque ce dernier détecte un intrus, il le signale.
Cependant, si le virus est chargé en mémoire, il ne pourra pas le supprimer.
Il pourra, éventuellement, tenter de le désactiver au prochain démarrage.

On peut utiliser HijackThis. HiJackThis liste les processus qui se lancent au démarrage de l'ordinateur. Il identifie les entrées suspectes et peut désactiver leur lancement.
Mais si le virus est présent dans le dossier Windows (system 32), il va se recharger en mémoire au démarrage suivant.

On peut démarrer l'ordinateur en mode sans échec (appuyer sur F8 au démarrage). Windows se lancera en configuration minimale et on pourra supprimer le(s) fichier(s) malsain(s).

On peut effectuer un contrôle avec un antivirus en ligne, à partir du navigateur Internet. En général peu efficace pour la suppression, il pourra néanmoins identifier et localiser un virus ou un malware.

Puis viennent les solutions plus "lourdes" :
- Utiliser un utilitaire de désinfection (si on connaît le virus à éliminer)
- Graver un CD-ROM de démarrage contenant un antivirus,
- démonter le disque dur et le mettre dans un boitier USB

 

Quelques liens pour approfondir :

 

 

 

 

Désinfection avec l'antivirus :

L'idéal est d'éliminer le virus avec l'antivirus installé sur l'ordinateur.
La première chose à faire est donc un scan complet de l'ordinateur avec l'antivirus.

 

Exemple d'alerte avec Antivir :

Quand Antivir détecte un fichier infecté, il affiche une alerte :

Ici, il s'agit d'un fichier spyware qui tente de se connecter sur Internet.
La solution par défaut : Refuser l'accès. Mais ça ne résoud pas le problème, car le fichier est toujours là.
En cas de doute, on peut choisir : Déplacer en quarantaine.
La solution la plus "radicale" : Supprimer (c'est ce qu'il y a de mieux à faire pour un fichier de programme).

Malheureusement, le déplacement ou la suppression sont rarement possibles, car le malware ou le virus est en activité, et son emplacement ne peut être modifié.
Il faudra le supprimer *avant* qu'il ne s'installe en mémoire. Ou, autrement dit, l'empêcher de se charger en mémoire au démarrage de l'ordinateur.

 

 

Utilisation de Malwarebytes :

Malwarebytes est le logiciel le plus simple à utiliser.
Il permet d'éradiquer les principaux malwares qui peuvent entraver le fonctionnement de Windows

Voir ma page : Malwarebytes

 

 

Utilisation de HiJackThis :

HiJackThis liste les processus qui se lancent au démarrage de l'ordinateur. Il identifie les entrées suspectes et peut désactiver leur lancement.
Mais si le virus est présent dans le dossier Windows (system 32), il va se recharger en mémoire au démarrage suivant.

Voir ma page : HiJackThis

 

 

Méthodes de base :

Le virus est souvent un programme qui se lance au démarrage de l'ordinateur, "en tâche de fond" (de façon invisible pour l'utilisateur). Lorsqu'il est en fonctionnement, il sera impossible de l'éradiquer.

On pourra utiliser les méthodes suivantes :

1 - Démarrer en mode sans échec (appuyer sur F8 au démarrage) :
Ainsi, on démarre l'ordinateur avec une configuration minimale. Si le virus ne s'active pas dans ce mode, on pourra le supprimer.

2 - Démarrer l'ordinateur avec un autre système :
Si le mode sans échec ne permet pas de désactiver le virus, il faudra, au choix :
- démarrer l'ordinateur avec un autre système installé sur un autre disque ou une autre partition (en cas de multiboot),
- démarrer l'ordinateur avec un CD-ROM bootable contenant un antivirus à jour (voir ci-dessous)

3 - Monter le disque dur contenant le système infecté sur un autre ordinateur :
- démonter le disque dur, et l'installer en "esclave" sur un autre ordinateur, ou par l'intermédiaire d'un boitier externe USB.

 

 

Antivirus en ligne :

Un antivirus en ligne permet d'examiner (scanner) le contenu de son ordinateur (disque dur).
Souvent, l'antivirus en ligne permet d'éradiquer les virus détectés.
(Attention cependant s'il s'agit de fichiers importants qui sont infectés)

Certains virus désactivent l'antivirus. Contre cela, on pourra utiliser un antivirus en ligne.
L'antivirus en ligne pourra également être utile pour effectuer un contrôle supplémentaire.
Avec un antivirus en ligne, on est (pratiquement) sûr d'utiliser un antivirus à jour.

Si l'ordinateur infecté ne dispose pas d'antivirus à jour, ou si celui-ci a été désactivé par un virus, on peut effectuer un contrôle en ligne des fichiers de l'ordinateur.

 

02/03/2010 : Generation-nt.com - Comparatif : test de 10 antivirus gratuits en ligne

 

 

Voir aussi :

VirusTotal.com : http://www.virustotal.com/
Analyse les fichiers au coup par coup (max : 20 Mo)

 

Le fonctionnement des antivirus en ligne, et leurs performances, peuvent varier.
Ne pas tenir compte des avis anciens.

 

ESET :

 

02/03/2010 : Generation-nt.com - Eset Online scanner

 

 

F-Secure :

 

02/03/2010 : Generation-nt.com - F-Secure Online Virus Scanner

 

 

Bit Defender :

26 mars 2009 : Bit Défender est rapide et performant :
52 secondes pour scanner une partition et éliminer certains des virus qui s'y trouvent.
Mais il n'élimine pas tout.

02/03/2010 : Generation-nt.com - BitDefender Online Scanner

 

 

Kaspersky :

24 septembre 2011 : Très simple. Nécessite l'installation d'un plugin sur le navigateur.
Analyse rapide. Analyse uniquement le système.

26 mars 2009 : Très lent. Il a bien détecté les virus... mais il n'offre pas la possibilité de les supprimer.
Inutile, sauf pour vérification.
Voir aussi :
http://assiste.com.free.fr/p/antivirus_gratuits_en_ligne/kaspersky_kav_antivirus_full.html

 

 

Trend Micro :

29 mars 2009 : Trend Micro est lourd, bugue, ne s'installe pas...
Inutilisable.

 

02/03/2010 : Generation-nt.com - Trend Micro HouseCall

 

Utilisation d'Internet Explorer :

Lors de l'utilisation de l'antivirus, on est amené à accepter l'installation d'un contrôle ActiveX. Cela est normal.

 

 

Utilitaires de désinfection :

Si un antivirus est nécessaire pour se protéger des virus, s'il est capable de les identifier, il n'est pas forcément capable de les éradiquer.
Il faudra donc, en premier, télécharger un utilitaire de désinfection spécifique au virus identifié.

 

 

29/03/2009 : Utilisé pour détecter / supprimer des trojans : il n'a rien détecté alors que le disque était bien infecté.

 

Il existe aussi :

avast! Virus Cleaner :
http://www.avast.com/eng/avast-virus-cleaner.html

Sysclean de Trend Micro :
http://www.trendmicro.com/download/dcs.asp
avec les définitions de virus :
http://www.trendmicro.com/download/pattern.asp

Microsoft® Windows® Malicious Software Removal Tool (KB890830) :
http://www.microsoft.com/downloads/details.aspx?
FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=en

 

Une liste d'utilitaires est disponible sur ces pages :
http://www.symantec.com/avcenter/tools.list.html

 

 

Désinfection des lecteurs amovibles :

Clés USB et disques durs externes peuvent véhiculer des virus.

Pour les nettoyer, on peut utiliser RAV :

Télécharger Rav :
http://www.evosla.com/evosla_soft/rav-antispy.html

RAV est un soft qui traite les virus et vers qui se trouvent dans les racines des lecteurs fixes et amovibles.
La liste des virus/vers se constitue des virus et sera mis a jour en fonction des virus/vers repertoriés par nos amis.

Désinfecter une clé usb/disque amovible :
* Télécharge Rav
* Brancher les disques amovibles sans les ouvrir avant de lancer le Fix
* Décompresser l'archive sur le bureau
* Double-cliquer sur RAV.exe pour lancer l'outil
* Une fois RAV lancé, il scannera automatiquement tous les lecteurs susceptibles d'être infectés
* S'il y a infection un rapport s'établira, sinon le soft affichera le message : « Votre Ordinateur est sain »
* Retirer les disques amovibles et redémarrer l'ordinateur.

 

Voir aussi :

Contamination par les lecteurs amovibles :
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm

 

 

Anti-Troyens :

Un Trojan (cheval de Troie) est un programme qui permet de prendre le contrôle d'un ordinateur à distance, ou de transmettre des données par le web à l'insu de son utilisateur (voir).
D'après Roland Garcia : "un bon trojan est difficile à supprimer car il est souvent référencé en trois endroits."

Logiciels spécialisés dans l'éradication des Trojans (Cheval de Troie)
a-squared Free : http://www.emsisoft.net/fr/software/download/
The Cleaner : http://www.moosoft.com/download.php
Purge-It : http://www.purge-it.com/

 

 

CD-ROM de désinfection :

Cela consiste à :

PS :
Il est préférable d'utiliser un CD-ROM / DVD-ROM réinscriptible pour pouvoir mettre à jour le disque.
On peut utiliser une clé USB si l'ordinateur peut démarrer sur une clé USB (à voir / paramétrer dans le Bios)

 

Il existe plusieurs CD-ROM de désinfection :
- Antivir CD Rescue
- Bit Defender CD Rescue
- Kaspersky Rescue Disk
- etc.

Ils sont basés sur des OS Linux

A télécharger sur le site de l'éditeur de l'antivirus et à graver sur un CD-ROM
Utiliser un CD-ROM réinscriptible pour pouvoir actualiser les définitions de virus.

 

 

BitDefender Rescue CD :

How to create a BitDefender Rescue CD
http://kb.bitdefender.com/site/article/627/

Voir aussi :
http://fspsa.free.fr/ubcd4win.htm#bitdefender

 

 

Avira AntiVir Rescue System :

Avira AntiVir Rescue System est une application Linux qui permet d'accéder à des ordinateurs qui ne peuvent pas démarrer.
L'Avira AntiVir Rescue System est actualisé plusieurs fois par jour.

On peut :
- réparer un système endommagé,
- récupérer des données,
- scanner le système pour le désinfecter;

- double-cliquer sur le fichier télécharger pour le graver sur un CD/DVD-ROM

 

 

Kaspersky Rescue Disk 10 :

 

FAQ sur Kaspersky Rescue Disk 10 :

Kaspersky Rescue Disk 10 :
http://support.kaspersky.com/fr/viruses/rescuedisk

 

Téléchargement :

"Vous pouvez télécharger Kaspersky Rescue Disk 10 à partir des serveurs de Kaspersky Lab.
http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable
Une fois Kaspersky Rescue Disk 10 téléchargé, enregistrez-le sur un CD/DVD ou sur un périphérique USB puis démarrez votre ordinateur à partir de celui-ci."

Page Kaspersky Rescue Disk 10 officielle (anglais) :
http://support.kaspersky.com/viruses/rescuedisk?level=2

 

Assistance :

Forum Kaspersky sur Kaspersky Rescue Disk 10 :
http://forum.kaspersky.com/index.php?showforum=159

 

 

UBCD4Win (Ultimate Boot CD for Windows) :

UBCD4Win (Ultimate Boot CD for Windows)

UBCD4Win permet de réaliser un CD de Windows XP contenant divers utilitaires, dont des antivirus.
C'est la solution la plus complète, mais la plus longue à réaliser.

Voir ma page :
Installations spéciales : CD de démarrage / réparation

 

 

Autres :

 

Réparer le secteur de boot :

Un virus peut endommager le secteur de boot et empêcher le démarrage de l'ordinateur.
C'est la situation la plus grave et la plus compliquée.

Bien se documenter avant d'entreprendre quoi que ce soit.

Pour info.

Comment réparer Vista avec ou sans DVD d'installation :
http://www.informatruc.com/forum/topic21768.html

 

Hiren's BootCD 10.1
http://www.hiren.info/pages/bootcd
Avec les logiciels mbrwizard et mbrwork

D'après pxg du foum fr.comp.securite.virus :
"Si tu veux éradiquer un trojan dans l'amorce qui "pourrait" utiliser le 446 octets du mbr et éventuellement les secteurs suivants de la piste 0 : utilise un outil comme mbrwizard ou mbrwork (voir Hirens's boot cd) :
- en premier lieu tu sauvegardes le ou les secteurs concernés et
- ensuite tu le(s) effaces (commande wipe)
- utilise un outil comme testdisk pour reconstruire la table des partitions,
- puis les cd de tes systèmes (vista, linux, ...) pour reconstruire leur amorçage"

il existe des commandes pour reconstruire le mbr seul - dont bootrec /fixmbr - lesquelles t'éviteraient le risque de perte de tes partitions par l'effacement brutal du premier secteur du disque...

...

... Si tu es certain de ce que tu fais, après écrasement de ton système tu peux reconstrire l'amorçage d'xp en console de réupération avec la commande "bootcfg /rebuild"."

 

 

Désactiver la restauration système pour supprimer un virus :

A partir de Windows Me, et également sous Windows XP, Vista, 7, la fonction de Restauration du système permet de revenir à une configuration précédente en cas de problème.
Pour cela, les fichiers importants de Windows sont sauvegardés périodiquement dans un dossier :
Restore (Me) ou System Volume Information (Windows XP, Vista, 7)

En cas d'infection par un virus, des fichiers infectés peuvent être sauvegardés dans le dossier de sauvegarde..
Ces fichiers, bien qu'étant infectés, ne seront pas dangereux puisqu'ils ne seront pas utilisé par Windows.
L'antivirus les détectera... mais il ne pourra pas les isoler ou les supprimer, car il ne pourra pas accéder au contenu du dossier Restore.

Il faudra désactiver la fonction de restauration, afin d'accéder au dossier Restore, et supprimer ces fichiers manuellement.

 

Sous Windows Vista / Windows 7 :

 

Sous Windows XP :

 

Sous Windows Millenium :

 

Liens :

FAQ du forum de discussion Usenet fr.comp.securite.virus (obsolète) :
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5

(texte en anglais)