Embed Size (px)
Citation preview
Désinfecter Windows Par tesgaz - publié le 27/03/2006
Ce n'est un secret pour personne, Windows est malhe ureusement la cible de nombreuses infections en tou t genre. Cet article s'adresse à tous ceux qui souhaitent assainir effic acement leur Windows infecté, la méthode décrite ic i vous permettant de nettoyer en profondeur votre système. Les diverses manipulat ions présentées et les différents logiciels cités s ont choisis en fonction de leurs qualités, de leur efficacité, de leur simplicité et de leur gratuité. Alors retroussez vos manches et suivez le guide !
Sommaire de l'article :
1 - Introduction 2 - Les symptômes d'une infection 3 - Préparation au nettoyage 4 - Le mode sans échec 5 - Désactiver la restauration système 6 - Urgence 7 - Supprimer les fichiers temporaires
8 - Fin du nettoyage 9 - Désactiver les programmes au démarrage 10 - Installer, configurer et passer l'antivirus 11 - Installer l'anti-spyware 12 - Vérification et fin de la désinfection 13 - Vérifications d'usage 14 - Conclusion
1. Introduction
• Avant de commencer, sachez qu'il est impératif de suivre cette procédure dans l'ordre chronologique afin d'obtenir les meilleurs résultats possibles. L'objectif de cet article ne prêtant pas l'obtention d'un résultat efficace à 100% car de nombreuses et nouvelles infections deviennent de plus en plus difficile à reconnaître ou à combattre. Cela devient ensuite l'affaire d'un spécialiste ou des sites spécialisés dans la désinfection (quelques références sont citées en fin d'article si l'infection persiste). L'objectif de cet article est de savoir se prendre en charge seul devant une infection en restant simple, efficace et en essayant d'obtenir le meilleur résultat possible. La durée d'une désinfection d'un système peut varier de 2 heures jusqu'à 8 heures (voir plus dans certains cas critiques) en fonction du nombre d'infections présentes, des diverses manipulations à faire, de la puissance de votre matériel, etc... Si les différentes démarches expliquées ici peuvent rebuter les utilisateurs débutants, sachez ne pas vous décourager car le résultat sera bénéfique, et ce pour diverses raisons : - vous finirez par mieux connaître votre système d'exploitation. - vous éviterez de refaire les mêmes erreurs avec l'outil Internet. - vous comprendrez que de perdre quelques heures à désinfecter un système d'exploitation n'est pas forcement une partie de plaisir...
2. Les symptômes d'une infection Les symptômes d'une infection sont souvent les même s : - Votre système ne répond plus, la souris se bloque, le sablier tourne continuellement, impossible de démarrer une application, les commandes ne répondent plus, des bugs apparaissent lors de votre navigation Internet, etc... - En regardant le gestionnaire des tâches, on constate que l'UC est utilisée à 100%. Pour voir le gestionnaire des tâches, appuyez sur la combinaison des trois touches : CTRL - ALT - SUPPR
Les fichiers infectieux existent mais leurs noms n'ont guère d'importances lors de notre démarche de nettoyage. Malheureusement, il se peut qu'un malware présent vous empêche d'ouvrir le gestionnaire des tâches... Cela commence mal, votre système est bien infecté. Dans ce cas, voir la section Urgences. C'est parti, suivez le guide de désinfection !
3. Préparation au nettoyage Avant toutes choses, commençons par télécharger les logiciels dont nous auront besoin. Tous ces logiciels ont la particularité de fonctionner également en mode sans échec. Si votre système est bien infecté et que vous n'arrivez pas à vous connecter à Internet, allez chez un ami, téléchargez les logiciels indiqués ici, gravez ou mettez ces logiciels sur une clé USB et imprimez cet article, car la plupart des manipulations se feront en mode sans échec. Vous pouvez également enregistrer la page et la conserver sur la clé USB ou sur le CD gravé. Utilitaire de restauration d'urgence : Votre système ne répond plus, les commandes vitales sont touchées, téléchargez le programme Zeb-Restore créé par Sebdraluorg du forum de Zebulon : - Télécharger Zeb-Restore. Antivirus : Antivir est un excellent antivirus gratuit, nous allons donc nous servir de cet outil lors de notre désinfection : - Télécharger Antivir sur Zebulon.fr - Site officiel - Tutorial pour configurer Antivir sur SpeedWeb
Anti-spyware : Notre choix se porte ici sur Spybot Search & Destroy : - Télécharger Spybot sur Zebulon.fr - Site officiel : téléchargez Spybot et Détection Updates comme indiqué sur la page du site officiel
- Tutorial pour configurer Spybot sur Assiste Nettoyeur de fichier : ATF Cleaner : - Site officiel - Téléchargement sur le site officiel Nous verrons son utilisation dans la suite de l'article. Un logiciel de vérification : Autoruns : - Site officiel - Téléchargement sur le site officiel - Configuration de Autoruns sur le forum de Zebulon Voila, nous disposons maintenant de tous les outils nécessaires pour faire le ménage sans pour autant avoir de connaissances particulières dans le domaine de la lutte anti-malwares. On pourrait bien entendu télécharger d'autres logiciels mais notre objectif est de faire simple :) Passons donc à la suite.
Les symptômes d'une infection
4. Le mode sans échec Redémarrez votre système en mode "Sans échec". Cela est très simple : juste après avoir appuyé sur le bouton "Power" de votre tour, lorsque la première image du constructeur apparaît ou que des chaînes de caractères défilent sur votre écran, vous devez tapoter sur la touche F8 de votre clavier (certains constructeurs proposent la touche F5 histoire de compliquer la chose, voir même F2 + F4, vérifiez dans ce cas dans votre manuel). Nous voilà donc face à un écran identique à celui-ci :
A l'aide des touches de direction, choisissez Mode sans échec . Si tout se passe bien, Windows vous informera que vous utilisez le mode sans échec. Confirmez alors par "OUI" lorsque l'on vous le demande. Le mode sans échec a l'avantage de n'utiliser que les services obligatoires de Windows, ce qui évite que les virus résidents fonctionnent. Un gros avantage pour le nettoyage du système ! A ce stade, pour les utilisateurs de Windows XP HOME, vous verrez apparaître un nouveau compte Administrateur .
Ouvrez votre session habituelle pour le moment. Allez, attaquons-nous maintenant au ménage !
5. Désactiver la restauration système La restauration système a l'avantage de remettre votre système à l'état antérieur de votre configuration actuelle par l'intermédiaire d'un point de restauration. Ce point de restauration correspond en théorie à un moment où votre système fonctionnait "correctement". Mais son inconvénient majeur est que tous les malwares présents sur le système au moment de la création du point de restauration seront alors inclus dans ce point de restauration. D'autre part, compte tenu que le dossier contenant les points de restauration est interdit en écriture (sauf au système), les logiciels antivirus ne peuvent que constater les infections sans supprimer les fichiers infectés. Que faire ? La meilleure solution consiste à désactiver cette restauration, ce qui aura comme conséquence : - la suppression totale de tous les points de restauration et des infections qui pourraient être présentes. - un gain de temps lors du scan de l'antivirus. - être certain que les malwares ne reviendront plus par la restauration système. Pour désactiver cette restauration, faites un clic droit sur l'icône de votre Poste de travail , cliquez sur Propriétés et choisissez l'onglet Restauration Système. Cochez ensuite la case Désactivez la Restauration du système puis cliquez sur le bouton Appliquer .
Laissez travailler votre système, il est possible que le sablier dure quelques minutes pour supprimer les points de restauration. Une fois cette action terminée, fermez la fenêtre et passons à l'étape suivante.
6. Urgence Cette étape ne concerne que les systèmes qui ne répondent plus aux commandes de base. Certains malwares peuvent en effet désactiver le gestionnaire des tâches. Zeb-Restore permet de dépanner la plupart de ces problèmes d'un simple clic :
En fonction de votre infection, certaines commandes vitales sont touchées, Zeb Restore vous permet de revenir à une situation stable de votre système d'exploitation. Il est préférable de cocher les fonctions une par une, de restaurer et ensuite de vérifier que la fonction est revenue. Lisez bien les commentaires indiqués pour chaque fonction afin de ne pas vous tromper.
7. Supprimer les fichiers temporaires Dans le début de cet article, nous vous avons proposé de télécharger ATF Cleaner . L'intérêt de ce logiciel est qu'il est exécutable directement sans nécessiter d'installation. Après avoir lancé le programme, la fenêtre suivante se présente à vous :
Cliquez sur Select ALL puis sur "Empty selected" . Vous obtenez alors le message suivant :
A ce stade, nous avons déjà nettoyé une bonne partie de notre système. Si vous utilisez Firefox ou Opéra, effectuez la même opération avec l'option correspondante. Nous allons maintenant supprimer les fichiers qui pourraient revenir : ouvrez votre Explorateur (avec la combinaison de touches Windows + E ). Modifiez le comportement des options afin de nous permettre de voir les dossiers cachés. Allez dans le menu Outils , Options des dossiers , onglet Affichage puis cochez et décochez les cases comme sur l'image suivante :
Activer la case Afficher les fichiers et dossiers cachés . Désactiver la case Masquer les extensions des fichiers dont le type es t connu . Désactiver la case Masquer les fichiers protégés du système d'exploita tion . Et enfin, cliquez sur Appliquer . Nous avons maintenant accès à tous les fichiers et dossiers du système d'exploitation. Pour en savoir plus sur l'explorateur, vous pouvez consulter cet article.
8. Fin du nettoyage Allons maintenant dans le dossier C:\Windows\System32\dllcache\
Supprimez tous les fichiers qui se trouvent dans ce dossier (la combinaison de touches CRTL + A vous permet de tout sélectionner, faites ensuite un clic droit puis choisissez Supprimer ou appuyez directement sur la touche Suppr ou Del en fonction de votre clavier). Votre système devient plus propre, mais ce n'est que le début. Le fait d'effectuer ce nettoyage réduira le temps de scan de l'antivirus et supprimera quelques fichiers potentiellement néfastes qui peuvent se loger ici. Enfin, pour finir, n'oubliez pas de vider la corbeille...
9. Désactiver les programmes au démarrage Cette opération est importante dans la mesure ou certains malwares s'activent en même temps que le lancement du système. Nous allons donc désactiver les programmes qui se lancent au démarrage de votre système :
Allez dans le menu Démarrer , puis Exécuter et tapez msconfig . Note : si vous ne connaissez pas MSconfig, sachez que cet outil Windows très pratique permet de modifier ou diagnostiquer le démarrage de votre système d'exploitation. Pour plus de détails, vous pouvez consulter notre article sur msconfig. Dans la fenêtre qui s'ouvre, allez à l'onglet Démarrage puis décochez toutes les cases sauf les suivantes : - votre connexion internet - votre antivirus - votre pare-feu
On constate ici la présence de programmes peu recommandables qui sont souvent la cause de diverses infections...
Il est inutile ici de nous attarder sur l'utilité des autres programmes qui seraient présents dans ce module puisque de toute façon, ils se relanceront automatiquement dès la première sollicitation (msn, real, quicktime, skype et autres babioles du même style...). Fermez votre session utilisateur et ouvrez chacune des autres sessions présentes sur votre page d'accueil. Renouvelez ensuite la même opération pour chaque session. Revenez ensuite à votre session utilisateur pour la suite de la procédure. Voila, au prochain démarrage, vous serez moins encombré et votre système aura retrouvé un peu de vitesse.
10. Installer, configurer et passer l'antivirus Rappelons que nous sommes toujours en mode sans échec. Maintenant, installons l'antivirus. Vous devriez avoir une icône comme celle-ci sur votre bureau ou dans vos documents :
Cliquez dessus et suivez la procédure d'installation et de configuration. A la fin de l'installation, le scan commence. Arrêtez-le en cliquant sur STOP.
Maintenant, configurez-le correctement comme sur le lien donné au dessus (piqûre de rappel : tutorial pour configurer Antivir sur SpeedWeb).
Une fois cette opération effectuée, vous pouvez commencer le scan dans de bonnes conditions. Si un virus est présent, une fenêtre comme celle-ci s'ouvrira :
N'hésitez pas , cliquez sur YES à chaque fois, cela ne sert pas à grand chose de conserver les fichiers en quarantaine. Continuez jusqu'à la fin du scan complet. La durée du scan est variable d'une configuration à l'autre (entre 1/4 d'heure et 1 à 2 heures dans la plupart des cas). Arrivé a ce stade, votre système d'exploitation devrait être opérationnel dans 90% des cas, mais la désinfection n'est pas terminée.
11. Installer l'anti-spyware Passons maintenant à Spybot Search & Destroy. Si vous avez suivi la procédure depuis le début, vous devriez avoir les deux icônes suivantes :
Commencez tout d'abord par installer Spybot puis arrêtons-nous à l'étape suivante :
Ensuite, a la fin de l'installation, désactivez la case suivante :
Installez ensuite la seconde partie en cliquant sur la deuxième icône intitulée Spybotsd_includes . Son exécution est très rapide.
Cette opération nous permet d'installer les dernières définitions sans passer par le net et être ainsi sujet à de nouvelles infections. De plus, cela nous permet d'être totalement autonome. Maintenant, nous pouvons configurer Spybot (rappel : tutorial de Spybot sur assiste). N'oubliez pas de mettre à jour la base de données en premier en cliquant sur "Vaccination" .
Une fois configuré correctement, vous pouvez lancer le scan en cliquant sur "Vérifier Tout" . Une fois l'analyse terminée, vous devriez obtenir ce type de résultat :
Cochez toutes les cases puis cliquez sur Corriger les problèmes . Il est possible que certains problèmes persistent, cliquez alors sur Oui .
La suite se fera au redémarrage du système en mode normal. Avant d'arriver sur votre bureau, Spybot redémarre une analyse complète afin de terminer le ménage.
Si de nouveaux éléments infectieux sont trouvés, faites de même que tout à l'heure : cochez tout puis corrigez les problèmes. Nous voici de nouveau sur notre bureau, mais cette fois-ci en mode normal (n'en profitez pas pour aller sur internet, le nettoyage n'est pas terminé !).
12. Vérification et fin de la désinfection Il est conseillé de redémarrer en mode sans échec afin de terminer la vérification, les malwares prenant un malin plaisir à jouer avec nos nerfs...
Exécutez Autoruns :
Si vous avez la suivi la procédure, vous devriez être en possession de son tutorial (pour rappel : configuration de Autoruns sur le forum). Il y a uniquement deux choses à paramétrer dans les options :
- Hide signed Microsoft Entries
- Verify code Signature
Afin de vérifier rapidement la présence de fichiers néfastes, il est recommandé d'activer uniquement ces deux fonctions maintenant, vous passez sur chaque onglets importants qui nous concerne :
Internet Explorer , Sheduled Tasks , Winlogon , AppInit , Winsock Providers , Boot Execute et Logon .
Vous devriez alors obtenir un type de données similaire à la capture ci-dessous. Décochez toutes les cases et ce pour chaque onglets indiqués plus haut. Notez bien le nom des fichiers , ils vont nous servir pour la suite. Nous désinstallerons les logiciels ensuite par la méthode
classique.
N'hésitez pas à décocher les cases, Autoruns conserve une copie de la valeur dans la base de registre. En principe, aucune entrée n'est obligatoire au bon fonctionnement du système. C'est ici que l'on trouve souvent les éléments perturbateurs, les fichiers infectieux les plus dur à
débusquer.
Pour rappel, décocher les cases ne signifie pas "supprimer les cases". Suppression des logiciels perturbateurs : A ce stade, la plus grosse partie de notre nettoyage est terminée. Mais tout n'est pas encore fini pour autant. Allez dans le menu Démarrer , Panneau de configuration puis Ajout/Suppression de programmes .
Désinstallez ensuite chaque programme dont vous avez noté le nom tout à l'heure. En principe, tout devrait bien se passer, mais certains éléments sont récalcitrants. Pour ces éléments plus coriaces, nous allons donc employer la méthode "brute". Retournez dans votre Explorateur et allez dans C:\Program Files\ . Cherchez le nom de dossier du logiciel puis supprimez-le.
Faites de même pour les autres éléments qui ne veulent pas se désinstaller par la méthode classique.
13. Vérifications d'usage Redémarrons le système en mode normal et regardons ce que nous indique le gestionnaire des tâches :
A ce stade, votre système devrait être propre. Il s'agit maintenant de le sécuriser correctement puis de l'optimiser. Si vous le souhaitez, vous pouvez maintenant désinstaller l'antivirus "Antivir" (à moins que vous pensez que le votre n'est pas aussi efficace que ce qui était indiqué sur la boite !). Si tout fonctionne correctement, réactivez votre re stauration système. Cela créera aussitôt un point d e restauration sain. Si vous avez encore un doute ou que votre système n'a pas retrouvé tout son potentiel, n'hésitez pas à venir poster dans les forums "sécurité". Notre forum sécurité comporte de nombreux membres compétents spécialistes des éradications. Ils pourront alors vous aider dans les cas les plus délicats. De plus, les différentes opérations que nous avons vues leur permettront d'avoir un système moins encombré à vérifier. Il existe bien entendu d'autres "forums sécurité" sur la toile francophone, comme par exemple le Forum Assiste ou encore le Forum PCA sécurité. Tous ces membres sont des bénévoles et des passionnés de la sécurité, vous pouvez leur faire confiance !
14. Conclusion
Maintenant que vous avez nettoyé votre système de s es diverses cochonneries, il est important pour vou s de configurer au mieux votre sécurité, vous trouverez à ce sujet de nombre ux articles et astuces sur zebulon et sur la toile. Mais même sécurisé, votre système sera toujours vul nérable si vous continuez d'avoir une attitude dési nvolte face à l'outil Internet. Restez prudent ! A la lecture de cet article, certains lecteurs pour raient dire : "Mais pourquoi il n'a pas parlé de te l ou tel logiciel ? (Hijackthis, Ewido, Spy-sweeper, etc..) ?". Tout simplement parce que l e but de cet article est de rester à la portée de t ous. Bien que cette procédure soit longue, elle reste simple, efficace et ne nécessite pas de dépenser un seul Euro. De plus, l'ensemble de la procédure peut se dérouler en mode sans échec. Bon nettoyage à tous ! Et rappelez vous, la chasse aux malwares est ouverte toute l'année !
Article sous copyleft (version originale)
N.B. Cet article fort utile fait partie de séries d’articles qui sont écrits pour Windows. Je vous recommande de le lire et exécuter en cas d’infection de votre PC et si besoin consulter le site Zebulon.fr par intermédiaire des différents liens
hypertextes que contient l’article. (Joseph Nobar)
