Assiste News Dossiers Encyclopédie Comment Logithèque Alternathèque Crapthèque Outils Forum Boutique ? W TDF
|
|
Si vous ne comprenez pas ou avez un doute, ou si vous comprenez et suspectez une infection qui ne relève pas de cette procédure de décontamination (si vous suspectez la présence de rootkits, de cryptowares, d'infection du MBR (Master Boot Record), etc. ...), cette procédure doit être utilisée en analyse seule (sans procéder à la décontamination) pour confirmer les doutes, avant de demander de l'aide sur un forum spécialisé. Dans ces cas de figure, la personne qui va vous assister a besoin de savoir quel est l'ensemble de l'environnement et du contexte de l'infection. Cette procédure sert alors à vous permettre de préciser votre demande d'assistance.
Liste des forums d'entraide, d'assistance et de décontamination où vous pouvez demander de l'aide.
Cette procédure est une procédure de décontamination contre les attaques courantes (y compris le bombardement publicitaire, le démarrage de votre navigateur sur une page ou un site non sollicité, l'imposition d'un moteur de recherche non sollicité, voire d'un moteur de recherche menteur, la présence de PUP (logiciels non sollicités) dans votre ordinateur, la présence de PUM (Modification non sollicitées de vos réglages), la présence de hijack (détournement du comportement d'un mécanisme), etc. ...).
Cette procédure vise, essentiellement, l'élimination des malveillances ou cybercriminalités de type :
Lorsque Windows démarre, un grand nombre de processus, programmes et services sont lancés automatiquement. Ces ordres de lancement proviennent d'une foule d'emplacements éparpillés dans Windows. Un cybercriminel va implanter le lancement automatique d'une malveillance dans l'un de ces emplacements. Il est donc nécessaire d'empêcher tous ces « trucs » de se lancer en désactivant leurs lancements. Utilisez la commande Windows MSConfig et désactivez tout sauf le lancement de votre antivirus (et, éventuellement, le touchpad du portable s'il n'y a pas de souris).
Si vous n’arrivez pas à utiliser Windows MSConfig ou si le lancement de la malveillance persiste, frappez encore plus fort en utilisant le mode de démarrage de Windows dit « sans échec » (mode de diagnostic de Windows) avec « Prise en charge de réseau » car nous allons avoir besoin de télécharger quelques outils d'analyse et de décontamination. Ceci va permettre à votre ordinateur de démarrer dans un mode minimal ou rien de ce qui n’est pas le « noyau » de Windows ne sera lancé.
Utilisation de CCleaner
On commence par faire le ménage sur le disque dur contenant le système d'exploitation Windows en effaçant tous les fichiers inutiles, les fichiers temporaires, les fichiers des Caches des navigateurs, etc. ... afin que les outils suivants, dans cette procédure, ne perdent pas leur temps à analyser des fichiers dont la vocation est d'être effacés.
Note 1 :
On peut utiliser CCleaner en mode de démarrage " sans échec ", sous un compte disposant des droits administratifs.
Comment démarrer / redémarrer l'ordinateur en mode sans échec.
Note 2 : Comparaison Nettoyage par CCleaner vs Nettoyage par les outils de Microsoft Windows
Pourquoi préférer le module de nettoyage disque de CCleaner à l'outil de nettoyage Microsoft ?
Comment régler CCleaner pour le nettoyage d'un PC tout en conservant les options de confort de Windows |
|
---|---|
Onglet "Nettoyage de Windows" de CCleaner | Onglet "Nettoyage des applications" de CCleaner Cette liste peut être considérablement augmentée avec CCEnhancer |
Utilisation de Malwarebytes Anti-Malware
Téléchargement de Malwarebytes Anti-Malware (MBAM)
Installation de Malwarebytes Anti-Malware (MBAM)
Si c'est la première fois que vous utilisez Malwarebytes Anti-Malware (MBAM), lors de son installation, ne pas cocher la case de test de la version Premium, sinon, un rappel constant d'acheter la version Premium va vous agacer.
Malwarebytes Anti-Malware (MBAM) doit être utilisé en mode de démarrage normal (ne pas utiliser MBAM en mode de démarrage " sans échec " - Qu'est-ce que le mode de démarrage " sans échec " de Windows ?).
2 Onglet Tableau de bord.
Clic sur le lien " Mettre à jour ". Malwarebytes Anti-Malware (MBAM) cherche une éventuelle mise à jour, la télécharge et l'installe. Dans la version Premium et versions supérieures, cette opération est automatique.
3 Onglet Analyse - Choix du type d'analyse et des cibles à analyser.
Malwarebytes Anti-Malware (MBAM) propose 3 types d'analyses. Recommandation : utilisez l'analyse personnalisée.
Analyse des " Menaces "
Cet examen, qui dure quelques minutes (10 à 15 minutes en moyenne, selon la taille et la vitesse de vos supports), analyse, en plus de l'analyse " Rapide ", certains types de fichiers, à certains emplacements, sur vos supports (disques, clés, etc. ...).
Durant cet examen, Malwarebytes Anti-Malware (MBAM) cible spécifiquement les fichiers binaires exécutables.
Nota pour les curieux : les fichiers binaires exécutables sont reconnus par le fait que le code qu'ils contiennent commence par les deux premiers caractères «MZ», comme c'est le cas des fichiers dont l'extension est .EXE, .DLL, .SYS et .CPL. Les fichiers binaires exécutables seront reconnus par Malwarebytes Anti-Malware (MBAM) même s'ils tentent de se cacher en étant renommés avec toutes les autres extensions de fichiers (il existe plusieurs milliers d'extensions de fichiers) comme .JPG, .PNG ou .GIF.
Analyse " Rapide "
Cet examen, hyper rapide, n'analyse que ce qui est actuellement actif (actuellement monté en mémoire et en cours d'exécution). Ce type d'examen n'est accessible que dans les versions commerciales (Premium et suivantes) de Malwarebytes Anti-Malware (MBAM).
4 Lancer l'analyse.
Clic sur le bouton " Analyser maintenant "
Juste avant de lancer l'analyse, Malwarebytes Anti-Malware (MBAM) vérifie une dernière fois s'il existe des mises à jour (avec ce logiciel et son équipe de développement extrêmement active, des mises à jour peuvent avoir lieu plusieurs fois par minute).
Malwarebytes Anti-Malware (MBAM) est à conserver, même dans sa version gratuite (qui est suffisante si on possède un très bon antivirus temps réel par ailleurs). L'utiliser périodiquement (par exemple tous les 10 jours).
Ne pas conserver cet outil sur son disque
Il est inutile de conserver AdwCleaner qui ne comporte pas de dispositif de mise à jour de son code (mais est mis à jour plusieurs fois par jour et comporte une mise à jour de sa base de signatures). Pour désinstaller AdwCleaner, lancez-le et cliquez sur le bouton " Désinstaller " - le produit s'autodétruit. Au moment de le réutiliser, il faut télécharger une version " neuve " du produit. Au lancement d'AdwCleaner, si une connexion Internet est ouverte, AdwCleaner vous signale s'il existe une version plus récente que la vôtre à télécharger.
Fermez tous vos navigateurs et toutes vos applications avant de lancer Junkware Removal Tool (JRT) sinon, il les ferme de lui-même sans vous poser de question et vous risquez de perdre vos travaux en cours.
Cet outil s'exécute sans aucune interaction avec l'utilisateur et il détruit les malwares sans poser de question, ce qui est trouvé et est considéré comme une malveillance.
Ne pas conserver cet outil sur son disque
Il est inutile de conserver Junkware Removal Tool (JRT) qui ne comporte pas de dispositif de mise à jour. Cet outil est mis à jour quotidiennement. Au moment de l'utiliser, il faut télécharger une version " neuve " du produit. Au lancement de Junkware Removal Tool (JRT), si une connexion Internet est ouverte, Junkware Removal Tool (JRT) vous signale s'il existe une version plus récente que la vôtre à télécharger.
Cliquer sur le bouton " Scanner ".
Voir le mode d'emploi, très simple (article ZHPCleaner).
Bien lire le mode d'emploi (article RogueKiller)
Ce logiciel s'exécute en deux temps. Dans un premier temps, il analyse ce qui est actif en mémoire afin de s'assurer que rien ne va gêner ou s'opposer à son exécution. C'est une phase appelée " PréScan ".
Une fois le " PréScan " terminé (RogueKiller sait alors qu'il peut travailler dans un environnement qui ne lui est pas hostile), il faut cliquer sur le bouton " scan ", pour lancer l'analyse des emplacements susceptibles de contenir des contaminations.
Enfin, sélectionner / désélectionner ce qu'a trouvé RogueKiller pour lancer la phase de décontamination/ suppression.
Onglet Hosts
On sera attentif à l'onglet " Hosts " et, si on ne sait pas de quoi il retourne, on restaurera le fichier hosts à sa valeur par défaut. D'innombrables malveillances inscrivent des " redirections " de domaines (de sites) dans le fichier Hosts, soit pour en bloquer l'accès (par exemple, bloquer l'accès à tous les sites de sécurité informatique), soit pour diriger l'utilisateur vers d'autres sites que ceux qu'il cherche à atteindre. Les utilisateurs avancés savent pourquoi il y a des inscriptions dans le fichier hosts et peuvent les conserver si elles proviennent de leurs propres inscriptions manuelles ou d'inscriptions faites par un autre outil "de confiance" de filtrage du Web.
Pour savoir ce qu'est Hosts (ou pour en savoir plus sur Hosts), lire les articles du dossier Hosts.
Shortcut Cleaner analyse et nettoie, en quelques secondes, les raccourcis servant à lancer les applications sous Microsoft Windows. Les raccourcis peuvent avoir été modifiés par une malveillance (note : AdwCleaner, utilisé plus haut, effectue également une opération de cette nature).
Shortcut Cleaner
La réinitialisation de votre navigateur permet de remettre celui-ci dans sa configuration d'origine. En particulier, les hijackers qui se sont implantés dans votre navigateur et modifient son comportement seront supprimés.
A la suite de cette opération, vous aurez sans doute à ré-installer certaines extensions dont celles de blocage total de la publicité et celles de protection du navigateur, de la navigation et de la vie privée.
Accessoirement, utilisez le remarquable Hitman Pro. Hitman Pro est un outil multi-antivirus " à la demande " (il ne travaille pas en temps réel) dont la fonction d'analyse (sans éradication) est gratuite. L'utilisation de plusieurs antivirus simultanés donne une vue beaucoup plus précise que l'utilisation d'un unique antivirus, aussi bon soit-il.
Hitman Pro
Accessoirement, utilisez le remarquable Avira EU Cleaner. Avira EU Cleaner est un outil antivirus et anti-malwares d'Avira, gratuit, développé dans le cadre de l'initiative allemande Botfrei.de de lutte contre les BotNets.
Avira EU Cleaner
Accessoirement, utilisez l'excellent SUPERAntiSpyware (SAS)
SUPERAntiSpyware (SAS)
Testez le comportement de votre navigateur. Si vous êtes pris en charge sur un forum (Forums d'entraide et de décontamination recommandés), signalez, dans votre prochain message, si une anomalie subsiste.
En attendant, merci de bien vouloir considérer les réglages préventifs des navigateurs :
Protéger le navigateur, la navigation et la vie privée
Certains des outils que vous venez d'utiliser ne comportent pas de dispositif de mise à jour et doivent donc être téléchargés à nouveau lors de la prochaine utilisation (éventuelle). Ils n'ont donc aucune raison d'encombrer votre ordinateur. D'autre part, comme il s'agit d'outils « portables » (sans procédure d'installation), ils ne peuvent pas être désinstallés (au sens traditionnel du terme).
Utilisez DelFix en cochant la case " Supprimer les outils de désinfection ".
Si vous avez utilisé, temporairement, un antivirus qui n'est pas destiné à rester dans votre ordinateur, consultez " Comment désinstaller complètement un antivirus ".
Si vous avez été pris en charge par un assistant qui vous a fait utiliser ZHP, utilisez la désinstallation normale de cette application.
Procédure de blocage de toute la publicité sur le Web
Procédure de protection du navigateur, de la navigation et de la vie privée
Mise à jour quotidienne de tous les plugins dans tous les navigateurs
Procédure de mise à jour périodique d'un ordinateur sous Windows (complément à Windows Update)
Entretien - Nettoyage périodique d'un PC sous Windows - Décrassage et petites réparations
Accélérer Windows
Accélérer Internet.
|
|