maxsims1 Posté(e) le 27 octobre 2006 Partager Posté(e) le 27 octobre 2006 Je vais faire un petit tuto, pour pouvoir détecter et supprimer certains malwares (que j'appelerais parfois virus) manuellement. /!\ Attention /!\ : supprimer des virus à la main peut être risqué, particulièrement à cause des erreurs que vous pouvez faire. Soyez sur avant de faire quoi que ce soit. Si vous avez un doute, n'hésiter pas à demander sur le forum avant de faire quoi que ce soit. Utiliser les techniques de détection ne sont en revanche pas risquées, et peuvent permettre de gagner du temps pour ceux qui s'occuperont de vous aider. Pensez à eux. Le gestionnaire des tâches Un signe particulier est le ralentissement du pc. Accès constant au disque dur, utilisation du processeur. On va utiliser l'outil le plus basique, et le plus connu de Windows : le gestionnaire de tâches. Et oui, un bon vieux ctrl + alt + suppr peux servir à détecter un malware. Il suffit de le lancer, en ayant le minimum de processus en arrière plan. Vous classez les processus par l'utilisation processeur (3ème colonne), et mis à part le taskmgr.exe (task manager, gestionnaire de tâches), et le processus inactif, rien ne doit consommer du processeur. Si un processus windows (services.exe par exemple) utilise de temps à autre du CPU, il y a de grande chance d'être infecté. Dans la plupart des cas, il suffit de rechercher le fichier en question. Si c'est services.exe qui est suspect, vous faites une recherche en recherchant dans les fichiers cachés. Si l'exécutable n'est pas dans *:\Windows\System32\, il est surement infecté (sauf explorer.exe). Ils sont souvent dans *:\Windows\System\, pour tromper l'utilisateur. Dans la plupart des cas, il suffit de supprimer le fichier avec unlocker. Mais il peut y avoir une ré-infection automatique après redémarrage. Il faudra donc vous servir d'hijackthis (tuto plus loin). L'utilitaire de configuration système Il est intégré à Windows, est est accessible via la commande msconfig, à taper dans exécuter. Ici le but est de trouver un programme "bizarre" qui se lance au démarrage. On va se servir des deux derniers onglets. Dans 'services', vous cochez la case 'masquer tous les services Microsoft' Vous voyez ici tous les services qui se lancent en tâche de fond, dans les processus svchost.exe. Il servent généralement à précharger des applications au démarrage, à lancer votre antivirus, pare-feu... Si vous voyez un service suspect (dans mon cas j'ai un 'UFLEHAZC' ), alors allez dans exécuter et taper 'services.msc'. Vous aurez ici tous les services, plus en détails. Retrouver votre service suspect et regardez ses propriétés (clic droit). Vous aurez normalement le droit à une description, parfois en anglais, mais surtout à son emplacement sur le disque. Evidemment c'est toujours à vous de déterminer si c'est un virus ou non. Utiliser Unlocker si c'est un virus Revenons à msconfig : dans l'onglet démarrage, vous avez toutes les applications (à moins qu'elle ne se cache bien) qui se lancent au démarrage de windows. Toujours pareil, un fichier suspect -> une enquête -> un jugement (avec sentence appliquée de suite). Internet Si vous avez un fichier suspect, mais que vous n'êtes pas sur, vous pouvez toujours chercher sur le net des infos, en tapant son nom par exemple. Si vous ne trouvez aucun résultat... C'est une infection Vous pouvez aussi l'analyser ici. Evidemment, vous pouvez venir sur le super forum trop bien de la balle où vous êtes pour demander de l'aide. Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxsims1 Posté(e) le 27 octobre 2006 Auteur Partager Posté(e) le 27 octobre 2006 Hijackthis HijackThis est un outil capable de traquer les hijackers présents sur votre PC. Ces modifications non sollicitées ont différents effets comme par exemple le détournement de la page d'accueil d'Internet Explorer, l'insertion d'un composant dans la barre du navigateur ou encore le détournement d'adresse IP via le fichier Hosts. Le programme liste les différents endroits où sont susceptibles de se cacher des hijackers et vous permet ainsi de supprimer les entrées suspectes. source zebulon.fr Il créer un liste de toute les applications qui sont en fonctionnement sur votre PC, des modification d'internet explorer, des services et programmes se lancant aux démarrage... Pas mal d'endroits ou sont susceptibles de se loger des malwares. Un mini-tuto (merci gailuron66) qui explique comment utiliser HijackThis, et comment poster un rapport. Mon but c'est que vous l'analyser vous-même, du moins en partie. Bon je vais pas refaire ce qui est déjà fait, vous avez deux excellent tutos ici : zebulon.fr commentcamarche.net Comme vous verrez c'est pas toujours simple. Mais vous pouvez faire une 'pré-analyse', ou vouloir comprendre comment ça marche. N'hésitez pas à rechercher avec google le nom d'un fichier par exemple : C:\WINDOWS\system32\svchost.exe Recherchez svchost.exe Vous arriverez sur des sites vous disant que c'est un processus windows qui est légitime. Attention : Si le processus est un processus windows qui censé être légitime mais qu'il se trouve par exemple dans \system\ ou dans \windows\, il est surement infecté (sauf explorer.exe qui ce trouve dans \windows\). Vous pouvez l'analyser ici : virus total (scan en ligne de fichier par au moins 25 des meilleurs AV). Ils sont la plupart du temps dans \system32\. Vous pouvez faire une analyse automatique du log ici : http://www.hijackthis.de/fr Ceci ne remplace pas une analyse manuelle. Mais ça peut beaucoup vous aider. Bon je rentre pas plus dans les détails, rien ne remplace une bonne expérience pour HiJackThis. CCleaner Crap Cleaner est un puissant outils de nettoyage. Il permet, entre autres, de supprimer les cookies traceurs. Un tuto ici (merci koskoz) Unlocker Il permet de libérer des fichiers qui sont utilisés par un processus. C'est particulièrement utile pour supprimer un fichier en cours d'utilisation. Un clic droit -> Unlocker, et vous pouvez le débloquer, le supprimer (parfois en redémarrant), le déplacer ou le renommer). Il est disponible ici. Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxsims1 Posté(e) le 27 octobre 2006 Auteur Partager Posté(e) le 27 octobre 2006 Allez-y Vous pouvez poster Il faudra que je revois la mise en page. Lien vers le commentaire Partager sur d’autres sites More sharing options...
noisette Posté(e) le 27 octobre 2006 Partager Posté(e) le 27 octobre 2006 je te linke dans les centralisations concernées (anti-virus, anti-spys, sécu générale, topic des tutos) dés que j'ai une minute. edit : fait Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxsims1 Posté(e) le 27 octobre 2006 Auteur Partager Posté(e) le 27 octobre 2006 D'ailleurs si vous avez la moindre astuce, n'hésitez pas Même si elle vous parais insignifiante. Lien vers le commentaire Partager sur d’autres sites More sharing options...
mixpixoto Posté(e) le 27 octobre 2006 Partager Posté(e) le 27 octobre 2006 -super,merci,mais la police noire sur le skin noir ,enfin ca pourrait etre dur a lire pour certains Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxsims1 Posté(e) le 27 octobre 2006 Auteur Partager Posté(e) le 27 octobre 2006 Corrigé Lien vers le commentaire Partager sur d’autres sites More sharing options...
kool56 Posté(e) le 28 octobre 2006 Partager Posté(e) le 28 octobre 2006 Tout tutoriel a le mérite d'être surtout quand il est simple et efficace! Lien vers le commentaire Partager sur d’autres sites More sharing options...
maxsims1 Posté(e) le 28 octobre 2006 Auteur Partager Posté(e) le 28 octobre 2006 Une mise à jour avec quelques outils Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.