Methodes de désinfection

Voici la partie qui pourra sûrement intéresser ceux et celles qui ont quelques soucis ^^

Je ne suis pas encore certain de la teneur de cette page, mais elle comportera sans doute plusieurs sections. En effet, nous aurons une méthode de désinfection de base, qui consistera à la méthode "classique" pour se débarrasser des vilaines bêtes, mais elle contiendra sûrement une méthode plus détaillée et spécifique en cas de virus "résistants" , qui mélangent rootkit et virus, et qui ont la mauvaise habitude de resurgir, même après éradication avec l'antivirus. Elle comportera également une méthode traitant les spywares.

Ceci étant dit, le contenu n'est pas encore définitif, et je vais donc commencer par la méthode la plus simple.

1. Méthode de désinfection de base

En lisant le titre, on se doute facilement qu'elle sera concise, voire presque inutile à expliquer, tellement elle est logique. Mais dans le but d'être aussi complet que possible, il faut tout de même la décrire. On est parti, donc ;-)

Si vous pensez être infecté, quelques opérations sont nécessaires afin de vous assurer de vous débarrasser de l'infection. En fait, ces opérations sont les même que celles que vous devriez effectuer de temps en temps, afin de savoir si vous avez un système sain.

Vous devez donc:

  • Faire un scan avec votre antivirus, après vous être assuré d'avoir les dernières signatures virales (faites la mise à jour, donc).
  • Faire un scan avec un antispyware, voire plusieurs (reportez-vous à la section présentation des programmes pour avoir un aperçu des antispywares)
  • Procéder à un nettoyage de votre ordinateur avec Ccleaner, par exemple.
  • Eventuellement, passez un scan antirootkit.

Tout ce que ces programmes trouveront devra être supprimé. Si vous êtes infecté de manière "simple", ces quelques opérations devraient venir à bout de votre problème.

Facile, non? Ben oui, jusque-là, facile.. Seulement, il y à parfois des cas bien plus compliqués, et pour ceux-là, il nous faudra des méthodes plus spécifiques. Elles seront expliquées juste après.

2. Méthode de désinfection avancée

Donc, si avec la méthode de base, vous n'êtes pas parvenu à supprimer votre problème, il va falloir procéder autrement. Il arrive en effet que certains virus, ou autres trucs dans le style, puissent réussir à se "réactiver", même si l'antivirus nous dit avoir supprimé des virus. En effet, grâce à certains procédés (comme les rootkit, par exemple) ils arrivent à se "régénérer" une fois le PC redémarré ou utilisé.

Nous allons donc ici utiliser une technique différente. Mais avant ça, quelques conseils tout d'abord:

  • Si ce n'est toujours pas fait, sauvegardez vos données importantes. Vous courez le risque de voir le virus se "sauvegarder" également, mais vous aurez au moins une sauvegarde de vos données. C'est pourquoi il est très important de créer des sauvegardes de vos données régulièrement, lorsque votre PC est sain.
  • Si vous êtes parvenu, lors de l'étape précédente, à identifier le virus qui vous cause problème, rendez-vous sur le site d'un éditeur antivirus, afin de vérifier s'il n'existe pas de "Fix" pour ce virus. Un "Fix" est en fait un petit programme qui supprimera le virus automatiquement. S'il en existe un, téléchargez-le, et lancez-le.
  • Désactivez la restauration système. La restauration système est en fait un point de sauvegarde que windows effectue par exemple lors d'installation d'un nouveau programme, dans le cas où celui-ci ferait planter windows et que vous voudriez revenir à l'état initial, à savoir avant l'installation du dit programme. Pour désactiver la restauration système, faites comme ceci:
  1. Cliquez sur Démarrer avec le bouton gauche
  2. Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés
  3. Cliquez sur l'onglet Restauration du système
  4. Sélectionnez Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs comme le montre cette illustration
desactive_restauration1.gif

Il est nécessaire de désactiver cette fonction, car en créant un point de restauration, le virus a très bien pu être enregistré également. La désactiver aura pour effet de supprimer toutes les sauvegardes, sauf la plus récente, et cela nous permettra de supprimer éventuellement le virus s'y étant enregistré. Après la désinfection, il sera nécessaire de la réactiver.

  • Mettez votre antivirus à jour (et éventuellement, vos antispyware et autres programmes de protection/scan)
  • Videz le cache de votre/vos navigateur(s) et les fichiers temporaires (Ccleaner peut le faire pour vous, si vous ne savez pas où aller pour le faire)

Le vif du sujet

Une fois tout cela fait, nous devons redémarrer le PC en mode sans échec. Pour cela, au démarrage du PC, tapotez sur la touche F8 jusqu'à ce que vous arriviez sur une page comme celle-ci:

sans_echec1.png

Avec la flèche de votre clavier, remontez jusqu'à l'option "mode sans échec", et appuyez sur Enter. Vous verrez alors une série rapide de lignes s'afficher. N'ayez crainte, cela est normal. Windows va alors démarrer en mode sans échec. Il vous avertira, via une petite fenêtre, que vous êtes bien en mode sans échec. Vous verrez, en mode sans échec, Windows est.. laid :) C'est normal aussi, car dans ce mode, il ne charge que le strict minimum et nécessaire au lancement de l'ordinateur. Pas de fioritures donc, juste de quoi aider les administrateurs et les techniciens à faire leur boulot lorsque vous foutez tout en l'air ;-)

Une fois en mode sans échec, il vous faut en fait répéter les mêmes choses qu'en mode normal, à savoir

  • Scan du pc avec l'antivirus
  • Scan antispywares
  • Scan antirootkit
  • Nettoyage du pc avec Ccleaner (par exemple)

Ici, le scan antirootkit est plus conseillé que dans la méthode de base, car si l'on doit en arriver à la méthode avancée, il se peut que ce soit parce que le virus utilise les rootkit comme "protection" à son éradication. Il existe des outils dédiés à ce scan (voir la section présentation des programmes ) mais sachez que de plus en plus d'antivirus intègrent maintenant une détection des rootkit.

Le fait d'avoir effectué ces actions en mode sans échec nous donne plus de chance d'éradiquer le virus, car étant donné que windows ne chargera que ce qui lui est nécessaire, il y a de très fortes chances pour que le virus ne soit pas lancé, ce qui facilitera le boulot de détection et de suppression du virus.

Supprimez tout ce que vos logiciels trouveront.

Normalement votre PC est maintenant propre. Redémarrez donc en mode normal (c'est à dire ne plus tapoter sur la touche F8, et laisser windows démarrer normalement). Afin d'être certain qu'il n'y a plus de soucis, recommencez les étapes de la méthode de désinfection de base. Si plus rien n'est détecté, vous avez gagné la bataille ^^.

Pour être certain que le virus ne s'est pas infiltré sur vos sauvegardes ou autres clés USB, scannez ceux-ci avec votre antivirus également. Si il est détecté, supprimez-le si c'est possible (oui, parce que je préfère vous signaler qu'il est impossible de supprimer un virus sur un cd, on sait jamais… ;p)

Enfin, n'oubliez pas de réactiver la restauration système. Pour cela, refaites les mêmes étapes que pour la désactiver, mais au lieu de cocher la case, décochez-la.

D'autres conseils

En cas d'infection, vous pouvez également vous rendre sur des sites d'analyse en ligne. Les analyses en ligne ont l'avantage de ne pas pouvoir être altérées par un virus, puisqu'elles se font depuis internet. Elles vous permettront peut-être de définir plus précisément le type de virus (son nom) que vous avez, et ainsi chercher des solutions pour le contrer. Vous trouverez des sites d'analyse en ligne dans la section liens utiles.

Toutefois, certains virus peuvent bloquer l'accès aux sites d'analyses en ligne, ou à d'autres sites dédiés à la sécurité. Comment me direz-vous? En fait, ils sont malins..

Il leur suffit d'aller modifier un fichier appelé "Hosts". Ce fichier est en fait comme un carnet d'adresses. Lorsque vous surfez sur internet, et que par exemple vous entrez l'adresse d'un site quel qu'il soit, windows va aller vérifier dans le fichier Host si l'adresse y figure. Si elle s'y trouve, il va alors vous envoyez sur le site. Si elle s'y trouve, mais que l'adresse IP configurée avec ce site est 127.0.0.1, le site est alors interdit, et vous ne pourrez pas vous y rendre, soit elle ne s'y trouve pas, et c'est votre fournisseur d'accès qui vous la donne pour vous rendre sur le site.

L'ip 127.0.0.1 est ce que l'on appelle le "localhost", ou boucle locale en français. Elle sert notamment à vérifier le bon fonctionnement de sa carte réseau, mais dans le cas qui nous intéresse, un virus peut modifier le fichier host afin d'y inclure les adresses des sites de sécurité et de leur rajouter l'ip de boucle locale, afin que vous ne puissiez vous rendre sur le site.

Pour pallier à ce problème, c'est très simple, il vous suffit de vous rendre (en considérant que le lecteur "c" est votre lecteur système, càd là où est installé Windows):

  • Sous Windows 2000 : c:\winnt\system32\drivers\etc*
  • Sous Windows XP : c:\windows\system32\drivers\etc*
  • Sous Windows Vista: c:\windows\system32\drivers\etc\hosts

Ensuite, ouvrez votre fichier Hosts avec le bloc-notes, et effacez toutes les lignes présentes (si il y en à plusieurs) et ne laissez uniquement que la première, qui doit être 127.0.0.1 localhost (il est très important de la laisser). Enregistrez les modifications apportées, et fermez le fichier Hosts. Pour plus de sécurité, et afin qu'il ne soit plus modifié à votre insu, vous pouvez même ne l'autoriser qu'en lecture seule (impossible d'y écrire donc, sauf en désactivant cette option).

Comme cela, vous serez certain de pouvoir accéder à tous les sites spécialisés que le virus voulait vous empêcher de voir.

Voila, avec ceci, vous devriez normalement pouvoir vous débarrasser de tout ce qui peut vous empêcher de tourner en rond, voir de dormir ;-). Il se peut cependant que vous soyez confronté à d'autres soucis qui ne veulent pas partir malgré tout ça, mais normalement, non. Cette section évoluera si je remarque, ou que vous me faites remarquez que certaines choses passent au travers de tout ça (preuves à l'appui hein, pas question de se pointer ici pour me faire ajouter des trucs sans m'avoir montré que tout ceci ne fonctionne pas ^^).

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License