Virus - Méthode préliminaire de désinfection

Rechercher
Recherche
Inscrivez-vous
Connexion
Fiches pratiques
Sécurité
Virus
Virus - Méthode préliminaire de désinfection
Février 2015
Comme il vaut mieux prévenir que guérir, une visite préalable sur la
page http://sebsauvage.net/safehex.html vous permettra de savoir
comment protéger efficacement votre PC.
Introduction
Analyse avec un anti-malware
Utilisation d'un logiciel de diagnostic
ZHPDiag
OTL
FRST
Avis d'un expert
À consulter aussi
Introduction
Si vous avez un doute quant à la bonne santé de votre PC, cela peut être la manifestation des prodromes
d'une quelconque infection... Dans le dessein de gagner en vitesse et en efficacité, je vous propose une
méthode préliminaire qu'il faut impérativement effectuer dans l'ordre !
Analyse avec un anti-malware
Suivez le tutoriel suivant : Malwarebytes' Anti-Malware - Tutoriel
Utilisation d'un logiciel de diagnostic
Selon la personne qui vous prendra en charge, certains auront une préférence pour OTL, d'autres pour
ZHPDiag ou encore FRST. Seront ici énoncées les 3 procédures, si besoin est votre helper vous
indiquera laquelle suivre. Celle-ci consiste à utiliser un de ces logiciels et à envoyer le rapport sur un site
de dépôt afin d'être consultable. Voici quelques sites de dépôts :
Pjjoint
Cjoint.com
ZHPDiag
HijackThis est devenu insuffisant. ZHPDiag donne un rapport plus complet et plus détaillé. Utilisation :
Téléchargez ZHPDiag (de Nicolas Coolman),
Laissez-vous guider lors de l'installation et lancez ZHPDiag grâce au raccourci placé sur le
Bureau,
Cliquez sur Complet,
Une fois aux 100%, hébergez le rapport ZHPDiag.txt (présent sur le Bureau) sur un site tel que
Pjjoint, puis copiez-collez le lien fourni sur le forum Virus/Sécurité de CCM dans un nouveau
sujet où vous expliquerez pourquoi vous pensez être infecté (plus d'explications ici pour voir
comment demander l'avis d'un expert sur le forum).
Les logiciels de diagnostic sont présentés ici.
OTL
Téléchargez ici : OTL,
Enregistrez-le sur votre Bureau,
Double-cliquez dessus pour le lancer,
/!\ Utilisateur de Vista/Seven/8/8.1 : cliquez droit sur OTL et choisissez Exécuter en tant
qu'administrateur),
Configuration :
Copiez-collez le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation" :
netsvcs msconfig safebootminimal safebootnetwork activex drivers32
%ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s %APPDATA%\*. %APPDATA%\*.exe /s
%temp%\*.exe /s %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll %systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav /md5start explorer.exe winlogon.exe services.exe
wininit.exe /md5stop HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB3285FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
/s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
/s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s CREATERESTOREPOINT
nslookup www.google.fr /c ping www.google.fr /c ipconfig /all /c SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
Cliquez sur Analyse,
A la fin du scan, le Bloc-Notes s'ouvre avec le rapport (OTL.txt). Il y aura aussi un rapport nommé
Extras.txt.
Ces fichiers sont sur votre Bureau (et dans C:\_OTL).
NE LES POSTEZ PAS SUR LE FORUM (ils sont trop longs)
Hébergez OTL.txt et Extras.txt sur Pjjoint ou Cjoint.com et donnez les liens obtenus à l'expert.
NOTE : Vous pouvez utiliser le service pjjoint afin d'évaluer vos rapports comme l'explique l'astuce
suivante : http://www.commentcamarche.net/faq/40484-evaluer-ses-rapports-hijackthis-otl
FRST
Téléchargez Farbar Recovery Scan Tool (de Farbar) sur votre Bureau.
Attention : vous devez prendre la version compatible avec votre système : 32 ou 64 bits.
Fermez toutes les applications en cours.
Lancez FRST (Sous Windows Vista/7/8/8.1, clic droit sur FRST > Exécuter en tant
qu'administrateur).
Cochez la case Addition.txt.
Cliquez sur Scan.
Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
Hébergez les deux rapports sur pjjoint.malekal.com et copiez-collez les liens fournis dans votre
sujet.
Avis d'un expert
Une fois ces manipulations effectuées dans l'ordre, votre PC devrait être d'ores et déjà moins infecté.
Néanmoins, afin de s'en assurer, je vous invite à poster les rapports (le rapport de Malwarebytes' AntiMalware + le(s) rapport(s) du logiciel de diagnostic) sur le forum Virus/Sécurité où un expert vous
guidera pour la suite. Pour transmettre les rapports :
Cliquez sur http://pjjoint.malekal.com
Cliquez sur Parcourir... et cherchez le fichier du rapport que vous souhaitez transmettre.
Cliquez sur Ouvrir.
Cliquez sur Envoyer.
Un lien de cette forme, http://pjjoint.malekal.com/files.php?id=OTL_20140522_t6y8y11n11m9 , est
ajouté dans la page.
Copiez ces liens dans votre sujet sur CCM.
Bonne chance ! ;)
À consulter aussi
Rapports antivirus, gardez votre anonymat sur les forums Antivirus gratuits, lequel choisir ? Virus : que
faire quand on est infecté ? Sécurisez votre machine / Une sécurité efficace ? ça existe !
Réalisé sous la direction de Jean-François PILLOU
(@jeffpillou), fondateur de CommentCaMarche.net.
Ce document intitulé « Virus - Méthode préliminaire de désinfection » issu de CommentCaMarche
(www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier,
modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.