Virus - Méthode préliminaire de désinfection
Transcription
Virus - Méthode préliminaire de désinfection
Rechercher Recherche Inscrivez-vous Connexion Fiches pratiques Sécurité Virus Virus - Méthode préliminaire de désinfection Février 2015 Comme il vaut mieux prévenir que guérir, une visite préalable sur la page http://sebsauvage.net/safehex.html vous permettra de savoir comment protéger efficacement votre PC. Introduction Analyse avec un anti-malware Utilisation d'un logiciel de diagnostic ZHPDiag OTL FRST Avis d'un expert À consulter aussi Introduction Si vous avez un doute quant à la bonne santé de votre PC, cela peut être la manifestation des prodromes d'une quelconque infection... Dans le dessein de gagner en vitesse et en efficacité, je vous propose une méthode préliminaire qu'il faut impérativement effectuer dans l'ordre ! Analyse avec un anti-malware Suivez le tutoriel suivant : Malwarebytes' Anti-Malware - Tutoriel Utilisation d'un logiciel de diagnostic Selon la personne qui vous prendra en charge, certains auront une préférence pour OTL, d'autres pour ZHPDiag ou encore FRST. Seront ici énoncées les 3 procédures, si besoin est votre helper vous indiquera laquelle suivre. Celle-ci consiste à utiliser un de ces logiciels et à envoyer le rapport sur un site de dépôt afin d'être consultable. Voici quelques sites de dépôts : Pjjoint Cjoint.com ZHPDiag HijackThis est devenu insuffisant. ZHPDiag donne un rapport plus complet et plus détaillé. Utilisation : Téléchargez ZHPDiag (de Nicolas Coolman), Laissez-vous guider lors de l'installation et lancez ZHPDiag grâce au raccourci placé sur le Bureau, Cliquez sur Complet, Une fois aux 100%, hébergez le rapport ZHPDiag.txt (présent sur le Bureau) sur un site tel que Pjjoint, puis copiez-collez le lien fourni sur le forum Virus/Sécurité de CCM dans un nouveau sujet où vous expliquerez pourquoi vous pensez être infecté (plus d'explications ici pour voir comment demander l'avis d'un expert sur le forum). Les logiciels de diagnostic sont présentés ici. OTL Téléchargez ici : OTL, Enregistrez-le sur votre Bureau, Double-cliquez dessus pour le lancer, /!\ Utilisateur de Vista/Seven/8/8.1 : cliquez droit sur OTL et choisissez Exécuter en tant qu'administrateur), Configuration : Copiez-collez le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation" : netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*.dll /s %APPDATA%\*. %APPDATA%\*.exe /s %temp%\*.exe /s %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\consrv.dll %systemroot%\system32\*.dll /lockedfiles %windir%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav /md5start explorer.exe winlogon.exe services.exe wininit.exe /md5stop HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB3285FFC23AF9C1}\InprocServer32 /s HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s CREATERESTOREPOINT nslookup www.google.fr /c ping www.google.fr /c ipconfig /all /c SAVEMBR:0 hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs Cliquez sur Analyse, A la fin du scan, le Bloc-Notes s'ouvre avec le rapport (OTL.txt). Il y aura aussi un rapport nommé Extras.txt. Ces fichiers sont sur votre Bureau (et dans C:\_OTL). NE LES POSTEZ PAS SUR LE FORUM (ils sont trop longs) Hébergez OTL.txt et Extras.txt sur Pjjoint ou Cjoint.com et donnez les liens obtenus à l'expert. NOTE : Vous pouvez utiliser le service pjjoint afin d'évaluer vos rapports comme l'explique l'astuce suivante : http://www.commentcamarche.net/faq/40484-evaluer-ses-rapports-hijackthis-otl FRST Téléchargez Farbar Recovery Scan Tool (de Farbar) sur votre Bureau. Attention : vous devez prendre la version compatible avec votre système : 32 ou 64 bits. Fermez toutes les applications en cours. Lancez FRST (Sous Windows Vista/7/8/8.1, clic droit sur FRST > Exécuter en tant qu'administrateur). Cochez la case Addition.txt. Cliquez sur Scan. Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau. Hébergez les deux rapports sur pjjoint.malekal.com et copiez-collez les liens fournis dans votre sujet. Avis d'un expert Une fois ces manipulations effectuées dans l'ordre, votre PC devrait être d'ores et déjà moins infecté. Néanmoins, afin de s'en assurer, je vous invite à poster les rapports (le rapport de Malwarebytes' AntiMalware + le(s) rapport(s) du logiciel de diagnostic) sur le forum Virus/Sécurité où un expert vous guidera pour la suite. Pour transmettre les rapports : Cliquez sur http://pjjoint.malekal.com Cliquez sur Parcourir... et cherchez le fichier du rapport que vous souhaitez transmettre. Cliquez sur Ouvrir. Cliquez sur Envoyer. Un lien de cette forme, http://pjjoint.malekal.com/files.php?id=OTL_20140522_t6y8y11n11m9 , est ajouté dans la page. Copiez ces liens dans votre sujet sur CCM. Bonne chance ! ;) À consulter aussi Rapports antivirus, gardez votre anonymat sur les forums Antivirus gratuits, lequel choisir ? Virus : que faire quand on est infecté ? Sécurisez votre machine / Une sécurité efficace ? ça existe ! Réalisé sous la direction de Jean-François PILLOU (@jeffpillou), fondateur de CommentCaMarche.net. Ce document intitulé « Virus - Méthode préliminaire de désinfection » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.