Vous êtes infecté ? Voici quoi faire.
+3
pmgamer
Remuald
Freyja
7 participants
Page 1 sur 1
Vous êtes infecté ? Voici quoi faire.
EDIT [19/12/2010] : Malekal_morte a mise en ligne un tuto de désinfection des PC sévèrement infectés : http://www.malekal.com/2010/11/12/tutorial-et-guide-procedure-standard-de-desinfection-de-virus/
EDIT [22/12/2010] : Attention aux faux désinfecteurs, si vous faites une recherche google concernant certaines infections, vous tombez sur de faux blogs vous incitant à acheter des produits inutiles, voire carrément faux. Je vous conseille donc de vous en tenir aux forums des Helper que je conseille ci-dessous, bien sûr ce ne sont pas les seuls, mais ceux-ci sont sûr.
EDIT [19/01/2011] : Ajout d'infos concernant le traitement des logs des détecteurs
EDIT [05/12/2011] : Ajout d'infos concernant la procédure de désinfection/nettoyage automatique
EDIT [13/12/2011] : Ajout du tuto ZHPDiag (by) Malekal
J'aurais pu mettre une liste d'outils de nettoyage mais ils changent souvent et ne devraient pas être utilisés sans accompagnement.
Les personnes qui vous accompagnent dans la désinfection sont appelés Helper.
Je ne n'ai pas le statut de Helper dans la communauté antivirale, en revanche j'en côtoie de temps en temps pour moi-même (Erreur 17 ou PEBKAC) ou pour des amis, mais en ce moment, c'est plus pour les infections au boulot. Un Helper c'est une personne qui intervient pour vous aider à désinfecter votre poste de travail. Il prend votre problème dés le départ et vous guide jusqu'à la résolution de celui-ci.
Je préfères donc vous parler d'eux.
Je ferais surement un focus sur certains outils mais avec la mention [Expert].
Ces Helper se retrouvent sur différents sites qui vous proposent de vous aider en suivant leur procédures, certains ont même développé des outils de diagnostic spécifique.
D'autant que certains outils de nettoyage ne doivent absolument pas être utilisé sans être guidé par un Helper, par exemple pour Combofix, il n'existe aucune documentation de l'outil. Seuls les Helper en connaissent son plein fonctionnement.
Les sites d'aides à la désinfection.
Voici ceux que je connais qui sont en français :
* Malekal : en premier car j'ai noué de bonnes relations avec son auteur Malekal_Morte , mais aussi car ses analyses et ses tutos sont bien réalisés.
* Libellules : De bon tutos aussi
* Zebulon : Ils disposent d'outils spécifiques
* Generation NT : Plus grand public (on y retrouve les Helper des autres forums)
Comme cela se passe ?
1. Vous êtes infectés ou vous soupçonnez la présence d'un virus
2. Vous allez sur un des sites en question et vous vous inscrivez au forum si vous ne l'êtes pas encore :
3. Certains sites demandent à ce que vous réalisiez certaines opération avant de poster votre problème dans la section adéquate :
Dans les explications que vous donnerez, soyez précis.
Arrivé là vous serez pris en charge par un Helper.
On va vous demander de télécharger certains outils et de poster le résultat sur le forum.
Ce sera tout d'abord un outil de diagnostique type DDS ou Hijackthis ou les deux.
Ensuite on va vous guider dans la désinfection (reboot en mode sans échec, exécution d'un outil particulier, etc)
Remarque : quand vous postez un log, evitez de le poster tel quel sur le forum mais plutôt entre balises [ code][ /code] ou [ quote][ /quote] :
Ne faites pas comme ça :
Kikoo lol g un virus é ge c pa kommen le désinfecte voil le résul du prog
DDS (Ver_09-12-01.01) - NTFSx86
Run by *** at 11:22:42,15 on 24/01/2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.446.81 [GMT 1]
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
============== Running Processes ===============
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
Mais faites comme ça :
Voici le résultat renvoyé par DDS :
ou bien comme ça :
ça facilitera la lecture entre vos commentaires et le résultat des logs.
Analyse des logs
Un certains nombre d'outils proposés par les Helper produisent des logs servant à lister tous les éléments du système.
Ces logs sont difficilement analysables par le commun des mortels.
Heureusement Zebulon.fr propose un outil, Zeb Help Process qui est capable d'identifier et de classer par nocivité les processus. Il propose même un outil d'éradication.
A utiliser si vous ne pouvez pas faire appel à un Helper.
L'outil est capable d'analyser les logs provenant de :
Il peut réorganiser les logs issus de :
Note : ZHPDiag, ZHPFix et ZHPSearch sont maintenant intégré à Zeb Help Process.
Malekal fournit lui aussi un service automatique d'analyse des logs : http://pjjoint.malekal.com
Voir l'explication ici : http://www.malekal.com/2011/02/10/beta-pjjoint-evaluer-ses-rapports-hijackthis-otl-et-zphdiag/
pjjoint.malekal.com évolue et propose une procédure de désinfection/nettoyage automatique.
> http://www.malekal.com/2011/12/05/pjjoint-optimisationdesinfection-en-autonome/
EDIT [22/12/2010] : Attention aux faux désinfecteurs, si vous faites une recherche google concernant certaines infections, vous tombez sur de faux blogs vous incitant à acheter des produits inutiles, voire carrément faux. Je vous conseille donc de vous en tenir aux forums des Helper que je conseille ci-dessous, bien sûr ce ne sont pas les seuls, mais ceux-ci sont sûr.
EDIT [19/01/2011] : Ajout d'infos concernant le traitement des logs des détecteurs
EDIT [05/12/2011] : Ajout d'infos concernant la procédure de désinfection/nettoyage automatique
EDIT [13/12/2011] : Ajout du tuto ZHPDiag (by) Malekal
J'aurais pu mettre une liste d'outils de nettoyage mais ils changent souvent et ne devraient pas être utilisés sans accompagnement.
Les personnes qui vous accompagnent dans la désinfection sont appelés Helper.
Je ne n'ai pas le statut de Helper dans la communauté antivirale, en revanche j'en côtoie de temps en temps pour moi-même (Erreur 17 ou PEBKAC) ou pour des amis, mais en ce moment, c'est plus pour les infections au boulot. Un Helper c'est une personne qui intervient pour vous aider à désinfecter votre poste de travail. Il prend votre problème dés le départ et vous guide jusqu'à la résolution de celui-ci.
Je préfères donc vous parler d'eux.
Je ferais surement un focus sur certains outils mais avec la mention [Expert].
Ces Helper se retrouvent sur différents sites qui vous proposent de vous aider en suivant leur procédures, certains ont même développé des outils de diagnostic spécifique.
D'autant que certains outils de nettoyage ne doivent absolument pas être utilisé sans être guidé par un Helper, par exemple pour Combofix, il n'existe aucune documentation de l'outil. Seuls les Helper en connaissent son plein fonctionnement.
Les sites d'aides à la désinfection.
Voici ceux que je connais qui sont en français :
* Malekal : en premier car j'ai noué de bonnes relations avec son auteur Malekal_Morte , mais aussi car ses analyses et ses tutos sont bien réalisés.
* Libellules : De bon tutos aussi
* Zebulon : Ils disposent d'outils spécifiques
* Generation NT : Plus grand public (on y retrouve les Helper des autres forums)
Comme cela se passe ?
1. Vous êtes infectés ou vous soupçonnez la présence d'un virus
2. Vous allez sur un des sites en question et vous vous inscrivez au forum si vous ne l'êtes pas encore :
- Malekal : http://forum.malekal.com/
- Libellules : http://www.libellules.ch/phpBB2/
- Zebulon : http://forum.zebulon.fr/
- GNT : http://forum.generation-nt.com/
3. Certains sites demandent à ce que vous réalisiez certaines opération avant de poster votre problème dans la section adéquate :
- Malekal : http://forum.malekal.com/avant-poster-dans-partie-virus-t12023.html
- Libellules : http://www.libellules.ch/phpBB2/procedure-de-demande-de-desinfection-nettoyage-analyse-t26986.html
- Zebulon : http://forum.zebulon.fr/procedure-de-demande-d-aide-et-desinfection-nettoyage-t138211.html
- GNT : http://forum.generation-nt.com/securite-and-virus/procedure-a-suivre-cas-dinfection-merci-poster-rapports-demandes-166456/
- Malekal : http://forum.malekal.com/virus-trojans-spywares.html
- Libellules : http://www.libellules.ch/phpBB2/desinfection-analyse-hijackthis-f35.html
- Zebulon : http://forum.zebulon.fr/analyse-rapports-hijackthis-eradication-malwares-f51.html
- GNT : http://forum.generation-nt.com/securite-and-virus/
Dans les explications que vous donnerez, soyez précis.
- Quel est votre système d'exploitation (attention la désinfection des Windows crackés n'est pas supporté !)
- Quels sont les messages renvoyés par votre antivirus ?
- Quels sont les messages renvoyés par le virus (messages publicitaires, faux messages d'alertes, etc) ?
- Quel est le comportement du PC (lenteur, reboot intempestif, écran bleu, antivirus désactivé, charge réseau importante alors que vous ne faites rien, etc) ?
- Toutes autres indications pouvant mettre sur la piste du virus.
- Si vous avez des copies d'écran, c'est encore mieux !
Arrivé là vous serez pris en charge par un Helper.
On va vous demander de télécharger certains outils et de poster le résultat sur le forum.
Ce sera tout d'abord un outil de diagnostique type DDS ou Hijackthis ou les deux.
Ensuite on va vous guider dans la désinfection (reboot en mode sans échec, exécution d'un outil particulier, etc)
Remarque : quand vous postez un log, evitez de le poster tel quel sur le forum mais plutôt entre balises [ code][ /code] ou [ quote][ /quote] :
Ne faites pas comme ça :
Kikoo lol g un virus é ge c pa kommen le désinfecte voil le résul du prog
DDS (Ver_09-12-01.01) - NTFSx86
Run by *** at 11:22:42,15 on 24/01/2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.446.81 [GMT 1]
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
============== Running Processes ===============
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
Mais faites comme ça :
Voici le résultat renvoyé par DDS :
DDS (Ver_09-12-01.01) - NTFSx86
Run by DUPONT at 11:22:42,15 on 24/01/2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.446.81 [GMT 1]
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
============== Running Processes ===============
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
ou bien comme ça :
- Code:
DDS (Ver_09-12-01.01) - NTFSx86
Run by DUPONT at 11:22:42,15 on 24/01/2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.446.81 [GMT 1:00]
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
============== Running Processes ===============
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
ça facilitera la lecture entre vos commentaires et le résultat des logs.
Analyse des logs
Un certains nombre d'outils proposés par les Helper produisent des logs servant à lister tous les éléments du système.
Ces logs sont difficilement analysables par le commun des mortels.
Heureusement Zebulon.fr propose un outil, Zeb Help Process qui est capable d'identifier et de classer par nocivité les processus. Il propose même un outil d'éradication.
A utiliser si vous ne pouvez pas faire appel à un Helper.
L'outil est capable d'analyser les logs provenant de :
- DiagHelp de Malekal: http://www.malekal.com/download/DiagHelp.zip
- Hijackthis de Trendmicro: http://free.antivirus.com/hijackthis/
- PCA Sécurité de Evolsa: http://www.evosla.com/view.download/
- Run Scanner: http://www.runscanner.net/
- Deckard's System Scanner (DSS): http://www.geekstogo.com/forum/index.php?autocom=downloads&showfile=19
- OldTimer's OTL: http://assiste.forum.free.fr/viewtopic.php?t=26725 ou http://www.geekstogo.com/forum/topic/2852-malware-and-spyware-cleaning-guide/
- Zebulon Help Process Diag (>Tuto ZHDiag/Process/Scan<): http://telechargement.zebulon.fr/zhpdiag.html
Il peut réorganiser les logs issus de :
- Kaspersky Antivirus Online (KAV): http://www.kaspersky.com/kos/eng/partner/71365/pages/default/check.html?n=1295443632580 (attention c'est une vieille version...)
- Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam.php
Note : ZHPDiag, ZHPFix et ZHPSearch sont maintenant intégré à Zeb Help Process.
Malekal fournit lui aussi un service automatique d'analyse des logs : http://pjjoint.malekal.com
Voir l'explication ici : http://www.malekal.com/2011/02/10/beta-pjjoint-evaluer-ses-rapports-hijackthis-otl-et-zphdiag/
pjjoint.malekal.com évolue et propose une procédure de désinfection/nettoyage automatique.
> http://www.malekal.com/2011/12/05/pjjoint-optimisationdesinfection-en-autonome/
Dernière édition par sioban le Mar 13 Déc 2011 - 14:21, édité 13 fois
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Vous êtes infecté ? Voici quoi faire.
Un exemple d'une désinfection : http://forum.malekal.com/post193303.html#p193303
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Vous êtes infecté ? Voici quoi faire.
je commence
Firefox: 3.6.3
Internet Explorer : 8.0.6001.18702
Microsoft Windows XP Professionnel 5.1.2600 SP3
Antivirus, Symantec Norton
Virus détecté dans systemrestore et windows recovery console=> Trojan.Fake.AV!gen24
Virus détecté dans un dossier sur la racine Qoobox => Backdoor.Tidserv!inf
pour l'instant j'ai désactivé le service de restauration windows
fait un scan norton complet, un passage de combofix et malware's byte.
Remuald- Coadmin
- Nombre de messages : 31630
Localisation : anywhere
Re: Vous êtes infecté ? Voici quoi faire.
Ce que tu trouves dans qoobox c'est ce qu'a viré combofix, tu peux virer ce répertoire.
Je préfères utiliser DrWeb sur un live CD/USB (UBCD4WIN par exemple) qu'un produit comme Norton AV...
Je préfères utiliser DrWeb sur un live CD/USB (UBCD4WIN par exemple) qu'un produit comme Norton AV...
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Vous êtes infecté ? Voici quoi faire.
norton c'est pas mon choix ^^'
Remuald- Coadmin
- Nombre de messages : 31630
Localisation : anywhere
Re: Vous êtes infecté ? Voici quoi faire.
Oui mais même en c'est bien d'avoir un clé USB live réalisée avec UBCD4WIN sur laquelle tu mets un DrWeb.
Pourquoi ?
Déjà deux scans valent mieux qu'un (élimine les FP, détectent les virus non vu par l'un ou l'autre).
Et ensuite une détection en mode LiveUSB/CD permet de trouver des virus qui seraient cachés du système.
Pourquoi ?
Déjà deux scans valent mieux qu'un (élimine les FP, détectent les virus non vu par l'un ou l'autre).
Et ensuite une détection en mode LiveUSB/CD permet de trouver des virus qui seraient cachés du système.
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Vous êtes infecté ? Voici quoi faire.
je vais regarder cette solution
Remuald- Coadmin
- Nombre de messages : 31630
Localisation : anywhere
Re: Vous êtes infecté ? Voici quoi faire.
Les produits d'analyse des Helper de Zebulon mis à jour : http://www.zebulon.fr/actualites/6057-nicolas-coolman-zeb-help-process-zhpfix.html
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Vous êtes infecté ? Voici quoi faire.
Ajout du tuto de malekal
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Vous êtes infecté ? Voici quoi faire.
Ajout d'un commentaire concernant les faux blogs de sécurité
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Vous êtes infecté ? Voici quoi faire.
Ajout de la section Analyse des logs
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Vous êtes infecté ? Voici quoi faire.
ajout de pjjoint.malekal.com
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Vous êtes infecté ? Voici quoi faire.
pjjoint.malekal.com évolue et propose une procédure de désinfection/nettoyage automatique.
> http://www.malekal.com/2011/12/05/pjjoint-optimisationdesinfection-en-autonome/
> http://www.malekal.com/2011/12/05/pjjoint-optimisationdesinfection-en-autonome/
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
pmgamer- NHFR All Stars
- Nombre de messages : 12433
Localisation : Nulle Part Ailleurs
robin44- Modérateur
- Nombre de messages : 6577
Localisation : Missillac
Remuald- Coadmin
- Nombre de messages : 31630
Localisation : anywhere
nico44z- Coadmin
- Nombre de messages : 19973
Localisation : saint seb
Re: Vous êtes infecté ? Voici quoi faire.
clair merci !
Hitman1- NHFR member
- Nombre de messages : 1860
Localisation : Orvault
Re: Vous êtes infecté ? Voici quoi faire.
Ajout d'infos concernant ZHPDiag, un autre analyseur type OTL/Hijakthis/DiagHelper développé à la base pour les utilisateurs du forum Zebulon.
> http://www.malekal.com/2011/12/13/zhpdiag-presentation-et-tutoriel/
> http://www.malekal.com/2011/12/13/zhpdiag-presentation-et-tutoriel/
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Vous êtes infecté ? Voici quoi faire.
Hijackthis vient de passer en OpenSource !
Espérons que cela le fera évoluer dans le bon sens !!
> http://blogmotion.fr/systeme/telecharger-hijackthis-7939
Espérons que cela le fera évoluer dans le bon sens !!
> http://blogmotion.fr/systeme/telecharger-hijackthis-7939
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Re: Vous êtes infecté ? Voici quoi faire.
Qui dit OpenSource ne dit pas la fête du Slip !
Si c'est des modifs à HijackThis elles seront forcément validée par Trendmicro (puisqu'il appartient à Trend), sinon on pourra utiliser le code lui-même pour le faire évoluer en fork
Si c'est des modifs à HijackThis elles seront forcément validée par Trendmicro (puisqu'il appartient à Trend), sinon on pourra utiliser le code lui-même pour le faire évoluer en fork
Freyja- Coadmin
- Nombre de messages : 21093
Localisation : Perdue dans les genres
Sujets similaires
» Et vous, vous feriez quoi d’une clé USB trouvée dans la rue
» Si vous pouviez vous faire plaisir avec ce budget...
» FCNA : On ne sait plus quoi faire
» Police partout, où en êtes-vous ?
» Webmaster, vous êtes le maillon faible
» Si vous pouviez vous faire plaisir avec ce budget...
» FCNA : On ne sait plus quoi faire
» Police partout, où en êtes-vous ?
» Webmaster, vous êtes le maillon faible
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum