Didacticiel sur la suppression des malwares

Toute l'actualité et infos pour se prémunir des spys

Modérateur: Guardian

Didacticiel sur la suppression des malwares

Messagede FLORIAN le Ven 22 Oct 2004 - 21:34

Didacticiel sur la suppression des malwares"

MODE NORMAL INFESTE
1) Connaître son ennemi :
- si vous avez la chance de connaître le nom du virus-malware-Spyware-trojan et autre méchant qui vous attaque, alors faites une recherche sur le net afin de récupérer un maximum d'informations, voire même de scripts ou de logiciels spécifiques succeptibles de permettre son éradication.

2) Eviter à tout prix la propagation :
- Dès l'infection constatée, il faut isoler par précaution votre machine attaquée des autres machines si vous êtes en réseau
3) Stopper les processus actifs :
- Les attaques les plus simples proviennent de processus actifs, votre Gestionnaire de Tâches vous en donne la liste, mais aussi certains logiciels (InXPpect,...)
4) Stopper les processus récalcitrants :- certains processus refusent d'être stoppés,il faut donc utiliser des gestionnaires de processus (KillProcess, APM,...)
- il est interessant aussi de connaître les ressources lancées par un processus (Advanced Process Termination, RegRun Control Center,...)
5) Désactiver la restauration système :- Les antivirus ne scannent pas certains fichiers cachés par le système, il est donc nécessaire de la désactiver.
6) Réparer Windows en conservant les donnees :- SI vous estimez que des fichiers système sont atteints, vous pouvez lancer une réparation en conservant les donnees
7) Utiliser un antivirus en ligne :
- votre machine est infectée mais pas la machine distante, ce test est donc très intéressant, de nombreux sites en proposent (BitDefender, Secuser,F-Secure, Security Check, McAfee FreeScan, Panda ActiveScan,...)
Passer un nettoyeur de registre :
- l'infection peut atteindre la Base De Registre, il faut donc la nettoyer (Regcleaner,...)

MODE SANS ECHEC (tapotez sur la touche F8 pendant l'amorçage du système)
- Dans ce mode, seuls les pilotes de périphériques indispensables sont chargés. L' ensemble des services et des programmes résidents sont désactivés. Votre carte graphique est en mode super VGA
1) Nettoyer les fichiers windows inutiles :
- Supprimer tous les fichiers du repertoire c:\windows\prefetch, à l'exception de layout.ini.
2) Supprimer les fichiers temporaires :
- Ils sont crées, entre autre, lors de l'utilisation de windows installer pour l'installation de logiciels ou de leur mises à jour.
3) Supprimer les fichiers mis en quarantaine :- Lorsque votre antivirus ne peut supprimer un virus, il propose de le mettre en quarantaine. Certains virus permettent de réactiver ces "virus dormants".
4) Supprimer les fichiers suspects :- Rechercher avec l'explorateur Windows tous les fichiers que vos antivirus ont trouvé et surtout ne pas oublier au préalable de rendre "visible" les fichiers cachés.
5) Nettoyer les fichiers inutiles :
- Appliquer l'astuce Nettoyer les fichiers inutiles
- Il existe aussi des nettoyeurs de fichiers qui font le ménage pour vous (JV6PowerTools, BeClean, Internet Sweeper,...)
6) Nettoyer les listes MRU :
- Ces listes contiennent des informations telles que les noms ou les endroits des derniers dossiers que vous avez consultés. (MRUBlaster,...)
7) Nettoyer le/les disque(s) durs :
- Penser à cocher toutes les options de nettoyage.
Vider la corbeille :
- Les fichiers vérolés de la corbeilles peuvent êtres réactivés par des scripts malveillants
9) Lancer Hijackthis :
- Vous pouvez faire une évaluation de log, toutefois, il faut faire attention à ce diagnostic et demander conseil s'il y a le moindre doute, ensuite il faut supprimer les lignes suspectes.
10) Verifier les paramètres de demarrage :
- Editer le fichier "boot.ini" avec Msconfig et faire le ménage.
- Pour les experts, vérifier les clés lancées par la Base de Registre au démarrage (HKLM...\Run...)
11) Analyser les fichiers système :- Il est possible de faire un scan en ligne de commande "sfc /scannow" avec le CD Windows installé.
12) Scanner votre disque dur avec un antivirus :
- Il existe de nombreux antivirus gratuits et performants (Escan, Stinger, Avast, Antivir, F-Prot,...)
13) Scanner la Base de Registre :
- C'est la plupart du temps dans la BDR que s'inscrustent les virus, il faut donc nettoyer mais aussi placer des gardiens. (Spybot S&D, RegCleaner, RegistryProt,...)
14) Scanner avec un anti-spyware/malware :
- Même un très bon antivirus peut laisser passer un spyware ou un malware. il faut donc analyser mais aussi placer des gardiens. (Ad-aware, Pest Patrol, Spywareblaster, SpywareGuard, Tauscan,...)
15) Rechercher les Trojans:- Le trojan, appelé aussi Cheval de Troie est un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en ouvrant une porte dérobée ou backdoor.
- Il faut palier à sa propagation par les 65000 ports de la machine que le firewall (Windows, NIS, Zone Alarm, Tiny personal firewall, Outpost, VisualZone,...) n'a pas pu arrêter. Puis Scanner avec un anti-trojan (The Cleaner, CWshredder, A2?, Anti-Trojan...)
- Consulter les listes des ports-trojans (liste1, liste2)
- Vous pouvez utiliser le logiciel ZebProtect et fermer certains ports sensibles aux attaques venant d'Internet.

MODE NORMAL ERADIQUE :
1) Reactiver la restauration du système
2) Boucher les failles de sécurité :
- Il est impératif de faire les mises à jour "critiques" de Windows.- Un résumé clair et concis de toutes les failles sur ordi-netFR
3) Vérifier les mises à jour de votre antivirus :
- La plupart des antivirus du commerce possèdent une mise à jour automatique (LiveUpdate).
4) Vérifier les paramètres de votre firewall.
5) Vérifier les ports :
- La sécurité passe aussi par le contrôle des ports, vous pouvez les scanner en mode commande (netstat -ano (XP) ; netstat -an (W2k))
- Il y a aussi la possibilité de faire le test de sécurité scanneur de port TCP (Désactiver temporairement Norton s'il est présent)
6) Vérifier les services de windows :
- Le gestionnaire des services se lance en mode de commande (services.msc), il est possible de l'optimiser.
- D'autres informations pour Configurer les services
7) Nettoyer la Base de Registre (EZCleaner,...)
Sauvegardez vos fichiers Systèmes :
9) Faire une restauration du système
10) Creer vos disquettes et vos CD de démarrage :
- En cas de plantage, Munissez-vous d'une compilation d'utilitaires gravés sur CD (UltimateBootCD)
11) Faire une image de votre partition système saine :
- Quelques logiciels le permettent, ils vous assurent la tranquilité (DrvImagerXP, PolderBackup, Partition Saving, Norton Ghost, Drive Image,...)

PROBLEMES FREQUEMMENT RENCONTRES :
- Impossible de lancer un fichier d'extension .exe (lancer ExeFix08)
- Plus de gestionnaire des tâches (Lancer taskmgr.exe ou installer un gestionnaire de Processus)
- Comment se débarrasser des virus W32.Blaster..Worm (dont Lovsan) (FixBlast)
- Comment éradiquer TV Media (Adware TV Media Removal Tool)
- Impossible de lancer l'éditeur de la base de registre, Voici la procédure à suivre
- Empecher votre ordinateur de redémarrer (Attaque Blaster), lancer la commande "shutdown -a"
- Fixer la famille de virus Korgo (FixKorgo)
- Retrouver votre fichier AUTOEXEC.NT (Add/Remove Plus! 2004)
- Eradiquer la famille de virus Bagle (FxBeagle)
- Spybot affiche une alerte DSO exploit

PETIT LEXIQUE DE MECHANTS RENCONTRES SUR HIJACKTHIS :
O2 - BHO: MxTargetObj Class - {...} - C:\WINDOWS\mxTarget.dll
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1014.dll,InstantAccess
O16 - DPF: {...} - http://akamai.downloadv3.com/binaries/P ... FR_XP.cab1

LISTE DE LOGICIELS FREEWARE (En ligne ou locaux) :
Antivirus en ligne :
- BitDefender - http://fr.bitdefender.com/scan/license.php
- Secuser (détection des vers et virus) - http://www.secuser.com/outils/antivirus.htm
- F-Secure - http://support.f-secure.fr/fra/home/ols.shtml
- Symantec Security Check - http://security.symantec.com/ssc/home.asp
- McAfee Free Scan - http://www.mcafee.com/myapps/mfs/scan.asp
- Panda ActiveScan - http://www.pandasoftware.com/activescan ... ncipal.htm
- Spychecker (detection Spyware) - http://www.spychecker.com/
- Trojanscan (détection des troyens) - http://www.windowsecurity.com/trojanscan/

AUTRES LOGICIELS :
Antivirus :
- Escan - http://www.mwti.net/download/tools/mwav.exe
- Stinger - http://vil.nai.com/vil/stinger/
- Avast - http://www.essentielpc.com/s/breve300.html
- Antivir - http://www.free-av.com/
- F-Prot (Sous DOS) - http://www.f-prot.com/download/home_user/

Controleur de ports Firewall (Pare-feu) :
- Zone Alarm - https://www.zonelabs.com/store/applicat ... n_id=11060
- VisualZOne (Add-on ZoneAlarm) - http://visualize.phenominet.com/visualz ... alzone.htm
- Outpost - http://www.agnitum.com/download/outpost ... l(Tutorial)

Ports et Chevaux de Troie (Trojan) :
- The Cleaner - http://www.moosoft.com/
- CWShredder - http://fokturgard.net/xoops2/modules/my ... d=7&lid=18
- A² - http://www.emsisoft.net/fr/software/free/?
- ZebProtect - http://telechargement.zebulon.fr/123-Zeb-Protect.html

Nettoyeurs/Gardiens de Registre :
- EZCleaner - http://personal.inet.fi/business/toniarts/dwnloads.htm
- RegCleaner - http://www.gvcreation.com/site/telechar ... leaner.exe
- Spybot Search & Destroy - http://www.safer-networking.org/fr/
- RegistryProt - http://www.diamondcs.com.au/downloads/regprot.zip

Nettoyeurs/gardiens de Spyware/malware :
- SpyWareBlaster - http://telechargement.zebulon.fr/license-1-122.html
- SpywareGuard - http://www.javacoolsoftware.com/spywareguard.html
- Ad-Aware - http://www.lavasoftusa.com/french/software/adaware/
- Pest Patrol - http://pestpatrol.com/
- Tauscan (30j) - http://terroirs.denfrance.free.fr/p/int ... ammer.html
- HijackThis - http://www.merijn.org/files/hijackthis.zip
- Hijackthis (Evaluation de log) - http://hijackthis.de/index.php?langselect=french
- Adware TV Media Removal Tool - http://www.majorgeeks.com/download.php?det=4368

Nettoyeurs de fichiers :
- JV6PowerTools - http://www.clubic.com/t/logiciel/fiche/ ... 10979.html
- BeClean - http://telechargement.zebulon.fr/license-1-130.html
- Internet Sweeper - http://www.bmesite.com/isfw.exe
- MRUBlaster - http://www.javacoolsoftware.com/mrublaster.html

BHO :
- BHODemon - http://www.definitivesolutions.com/bhodemon.htm

Processus :
- KillProcess - http://telechargement.zebulon.fr/109-KillProcess.html
- Advanced Process Manipulation - http://www.diamondcs.com.au/index.php?page=apm
- Advanced Process Termination - http://www.diamondcs.com.au/index.php?page=apt
- RegRun Control Center - http://www.greatis.com/security/
- InXPpect - http://3psilon.free.fr/index.php?pa=22

Anti-SPAM :
- SpamPal - http://spampal.free.fr/dl/spampal.exe
- Magic Mail Monitor - http://prdownloads.sourceforge.net/mmm3 ... mirror=ovh

Anti-PopUp :
- PopUp Stopper - http://www.panicware.com/product_psfree.html

Système:
- DrvImagerXP (FR) - http://www.clubic.com/t/logiciel/fiche/ ... 10881.html
- Partition Saving (US) - http://www.partition-saving.com/
- PolderBackup (US) - http://www.xs4all.nl/~philippo/PolderBackup.htm
- UltimateBootCD - http://telecharger.01net.com/windows/Ut ... 27462.html

Autres utilitaires :
- ExeFix08 - http://home.earthlink.net/~rmbox/Reticu ... Efix08.com
- FixKorgo - http://securityresponse.symantec.com/av ... xKorgo.exe
- FxBeagle - http://www.secuser.com/telechargement/d ... .htm#Bagle
- FixBlast - http://www.zdnet.fr/telecharger/windows ... 01s,00.htm
- Add/Remove Plus! 2004 - http://telecharger.caloga.com/download. ... 5f382&bt=1
- Plus d'utilitaires - http://www.secuser.com/telechargement/desinfection.htm - http://www.commentcamarche.net/virus/desinfection.php3

Articles/Astuces :
- HijackThis - http://www.zebulon.fr/articles/HijackThis.php
- Scanner de ports - http://www.zebulon.fr/outils/scanports/ ... curite.php
- Services.msc - http://www.zebulon.fr/articles/services_1.php
- Faire le ménage dans MSConfig - http://www.zebulon.fr/astuces/astuce-windows-163-0.html
- Nettoyer les fichiers inutiles - http://www.zebulon.fr/astuces/astuce-windows-39.html
- Configurer les services - http://www.pcastuces.com/pratique/windo ... /page2.htm
- Gestionnaire des tâches - http://www.zebulon.fr/articles/gestionnaire_taches.php
- Liste des ports-trojans - http://www.glocksoft.com/trojan_port.htm - http://www.simovits.com/nyheter9902.html
- Le site ordi-netfr - http://www.ordi-netfr.com/media.html
- Comment faire une installation sécurisée de Windows - http://www.zebulon.fr/articles/installa ... isee-1.php
- Lutter contre les virus - http://www.metagames-fr.com/Article144_ ... -virus.php
- Sites à consulter - http://assiste.free.fr/ - http://taplolo.free.fr/aide%20technique/aide.htm

Tutoriaux :
- Antivir - http://www.levillage-afrique.com/html/a ... vir03.html
- HijackThis - http://www.zebulon.fr/articles/HijackThis.php
- OutPost - http://perso.wanadoo.fr/websecurite/outpost.htm
- Spybot S&D - http://www.zebulon.fr/articles/spybot_1.php
- SpywareGuard - http://www.zebulon.fr/articles/SpywareGuard-1.php
- ZebProtect - http://www.zebulon.fr/articles/zebprotect.php
- Zone Alarm - http://www.zebulon.fr/articles/configurationZA_1.php

source venant de http://www.zebulon.fr/forum
FLORIAN
 

Messagede Sebastien le Ven 22 Oct 2004 - 22:51

Slt,

Merci pour le didacticiel Florian!
Image
Avatar de l’utilisateur
Sebastien
Modérateur
 
Messages: 318
Inscription: Lun 9 Aoû 2004 - 18:48

Messagede belver le Mer 27 Oct 2004 - 10:57

Merci Florian,

je rajoute le dictaticiel de zebulon :

http://www.zebulon.fr/articles/malwares.php
J'ai encore perdu une occasion de me taire
Assistance Informatique en live
Image Image
Avatar de l’utilisateur
belver
Administrateur
 
Messages: 5132
Inscription: Mar 3 Aoû 2004 - 10:40
Localisation: Nantes


Retourner vers SpyWares

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

cron