Spywares, chevaux de Troie, keyloggers, hijacker, adware, dialer et autres joyeusetés.
Comment nettoyer un PC contaminé.
La meilleure solution est de demander de l’aide sur un forum spécialisé comme
Zebulon,
Assiste,
malekal.com ou
Libellules.
Attention, il y a des manipulations à réaliser avant de poster un log. Lisez les post-it et parcourez les forums avant d’en choisir un et de vous lancer.
Important! Ne demandez de l'aide que sur un seul forum afin d'éviter les interférences qui pourraient être cause de dommages pour votre système (vous pourrez toujours consulter un autre forum si une première tentative s'est soldée par un échec).
Pourquoi aller sur un forum spécialisé :
D’abord parce que Geckozone est un site consacré aux logiciels utilisant le moteur de rendu Gecko. Ce n’est pas un site spécialisé dans la sécurité.
Ensuite parce que les "helpers" de ces forums:
- Connaissent bien les infections des PC et qu’ils savent les repérer.
- Suivent l'actualité des menaces qui traînent sur le net.
- Connaissent les différentes variantes des infections et traitent en conséquence.
- Connaissent les outils les plus adaptés à chaque situation.
- Vous aideront à nettoyer totalement toutes les traces de l’infection sans se contenter de bloquer juste les symptômes.
- Peuvent voir d’autres contaminations que celle qui cause votre demande.
- Vous éviterons de supprimer des fichiers ou services indispensables au bon fonctionnement de Windows ou de vos logiciels légitimes.
- Vous donnerons des conseils pour sécuriser votre ordinateur
-------------------------------------------------------------------------------
Pour tenter un nettoyage tout seul.
Télécharger, installer,
mettre à jour, scanner et, si nécessaire, réparer l'ordinateur avec les logiciels suivants:
=> Utiliser en priorité
MalwareByte's Anti-Malware et
SpyBot Search & Destroy.
MalwareByte's Anti-Malware. Le
tutoriel de malekal.com.
SpyBot Search & Destroy (
Tutoriel) (Attention, la "vaccination" de Firefox fait sévèrement gonfler le fichier
hostperm.1 et peut ralentir sérieusement Firefox; il peut être préférable de décocher tout ce qui concerne Firefx dans les options de vaccination).
a2 - A Squared Free. Bien prendre la version Free (gratuite). À utiliser de préférence en mode sans échec de Windows.

Attention, souvent des faux positifs, ne pas supprimer n'importe quoi.
Ad-Aware SE Personal Edition version freeware (un ancêtre dépassé et qui ne trouve plus grand chose ; déjà donné par Jim)
N.B.:MalwareByte's Anti-Malware, a2 et Ad-Aware en version freeware n'assurent pas la surveillance. Ils ne sont utilisables que pour scanner et nettoyer le système. Ne pas installer les versions commerciales d'essai qui sont limitées dans le temps et posent des problèmes pour repasser aux versions gratuites.
Autres anti-malwares. Voir ici :
http://forum.malekal.com/viewtopic.php?f=45&t=8765.
Attention, les anti-malwares sont moins fiables que les antivirus. Ils annoncent parfois des faux positifs. Ils vaut donc mieux vérifier ce que l'on supprime.
Si vous n'êtes pas sûr de vous, faites vous aider sur un forum spécialisé (adresses données au début).
Attention bis. Si l'un des utilitaires trouve le malware C-Dilla, ne pas le supprimer. C-Dilla est utilisé, entre autres, par certains programmes comme système anti-piratage. C’est le cas, par exemple, de l’Encyclopaedia Universalis. Sa suppression peut endommager le secteur d’amorçage du disque système. Même s’il n’y a pas de dégât, le logiciel qui l’utilise ne fonctionnera plus et il faudra le réinstaller (en espérant que ça marche).
>> Si le nettoyage a réussi, désactiver puis réactiver la restauration système afin de supprimer les points de restauration contaminés.
Si nécessaire, en cas de blocage ou d'échec, réaliser le nettoyage en mode sans échec de Windows.
-------------------------------------------------------------------------------
Vérifier ce qui se connecte à internet avec CurrPorts:
http://www.nirsoft.net/utils/cports.html
-------------------------------------------------------------------------------
Vérifier la présence de rootkits ou assimilés (
c'est quoi, cette bestiole?):
Voir
ici pour les "rootkits" de type egdaccess, NaviPromo, Magic.Control ou dérivés (
fenêtres intempestives et/ou
"opération illégale" du plugin Flash Player).
Deux logiciels permettent de vérifier tous les processus cachés (
attention, tout processus caché n'est pas illégitime):
Seem (
Description,
Téléchargement, en cas de problème au lancement, éditer le fichier
Seem.ini comme indiqué dans le paragraphe
"Choisir les sections à charger par Seem ?" de la
FAQ)
IceSword (
http://mail2.ustc.edu.cn/~jfpan/)
Voir aussi:
AVG Anti-Rootkit Free:
n'est plus disponible.
F-Secure BlackLight (fichier
fsbl.exe sur cette page
ftp://ftp.f-secure.com/f-prot/tools/).
-------------------------------------------------------------------------------
Après réparation, pour une surveillance de l'ordinateur, activer le résident de surveillance TeaTimer de SpyBot.
Et installer aussi:
SpywareBlaster (
Tutoriel).
SpywareGuard (un peu ancien et peu suivi mais encore efficace)
-------------------------------------------------------------------------------
Utile aussi, bien que dépassé et maintenant très insuffisant, le log HijackThis:
Des explications détaillées
ici (suivre les liens
de cette page vers les différentes lignes d'analyse).
D'autres explications:
le résumé et la totale
là.
Téléchargement:
http://www.trendsecure.com/portal/en-US ... e=download
Il existe des robots d'analyse de log HijackThis:
http://hijackthis.de/
http://www.help2go.com/component/detective/
http://hjt.networktechs.com/
Attention, ce ne sont que des robots et ils donnent de nombreuses indications erronées. Ne surtout pas leur faire confiance les yeux fermés, vous risquez d'endommager Windows ou de nuire au bon fonctionnement de certains programmes. Vous ne devez considérer leur analyse que comme des indications sur des infections possibles; ils peuvent également ne pas détecter une contamination bien réelle. Si vous ne savez pas exactement ce que vous faites, demandez conseil sur des forums spécialisés.
-------------------------------------------------------------------------------
Une procédure de désinfection pour Windows (XP):
Préliminaires Avant Décontamination
Et une autre (4 pages):
http://www.zebulon.fr/articles/desinfec ... dows-1.php
Services de scan en ligne d'éditeurs d'antivirus:
http://assiste.com.free.fr/p/antivirus_ ... ligne.html
-------------------------------------------------------------------------------
Ne pas oublier :
* les mises à jour régulières de tout ce petit monde et les mise à jour de sécurité de Windows,
* un bon antivirus avec des définitions de virus à jour. En gratuits : Avira AntiVir Personal (
http://www.free-av.com/), AVG Anti-Virus (
http://free.avg.com/). Avast! manque de réactivité depuis un certain temps pour l'introduction des nouvelles menaces.
* un vrai pare-feu,
donc pas celui de Windows. En gratuits: PC Tools Firewall Plus
(refuser l'installation de la version d'essai de Spyware Doctor), Kerio, ZoneAlarm, Ashampoo FireWall, Look'n'Stop, Outpost Firewall Free (ces deux derniers, en version gratuite, sont vraiment anciens).
Des sites à visiter:
Sécurité-facile:
http://securite-facile.ovh.org/index.php (sécurité, pour débuter)
Assiste:
http://assiste.com.free.fr (sécurité, très complet)
Zebulon:
http://www.zebulon.fr/ (sécurité et optimisation)
SpeedWeb:
http://speedweb1.free.fr/ (sécurité et optimisation)
malekal.com:
http://www.malekal.com/ (informations et tutoriels de suppression de malwares)
Ces outils sont destinés à un nettoyage s'il y a un risque d'infection par virus ou malwares.
L'objectif n'est donc pas la maintenance de la base de registre de Windows.
Pour la base de registre, c'est ici: http://www.geckozone.org/forum/viewtopi ... 187#223187
Note.
Spysweeper est un bon produit mais il prend beaucoup de place en mémoire. De plus c'est vraiment une version d'essai limité à 15 jours et qui n'est plus utilisable ensuite (ni réinstallable). Donc à réserver plutôt en cas de nécessité absolue (pour ménager les munitions

)
-------------------------------------------------------------------------------
Quelques gags connus :
Fenêtres intempestives. Voir:
http://www.geckozone.org/forum/viewtopi ... 246#378246
Le plugin (Flash) a effectué une opération illégale. Voir:
http://www.geckozone.org/forum/viewtopi ... 247#378247
En plus du processus normal du navigateur, un ou plusieurs processus
firefox.exe se lancent au démarrage de Windows et sont impossibles à arrêter. Voir:
http://www.geckozone.org/forum/viewtopi ... 070#386070