Nantes Hardware
Connectes toi !

Rejoignez le forum, c’est rapide et facile

Nantes Hardware
Connectes toi !
Nantes Hardware
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.
Le deal à ne pas rater :
Manga Chainsaw Man : où acheter le Tome 17 édition Collector de ...
19.99 €
Voir le deal
-29%
Le deal à ne pas rater :
PC portable Gamer ERAZER DEPUTY P60 – 15,6” FHD 144Hz – i7-12è ...
999.99 € 1399.99 €
Voir le deal

Vous êtes infecté ? Voici quoi faire.

+3
pmgamer
Remuald
Freyja
7 participants

Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Vous êtes infecté ? Voici quoi faire.

Message par Freyja Lun 25 Jan 2010 - 15:55

EDIT [19/12/2010] : Malekal_morte a mise en ligne un tuto de désinfection des PC sévèrement infectés : http://www.malekal.com/2010/11/12/tutorial-et-guide-procedure-standard-de-desinfection-de-virus/

EDIT [22/12/2010] : Attention aux faux désinfecteurs, si vous faites une recherche google concernant certaines infections, vous tombez sur de faux blogs vous incitant à acheter des produits inutiles, voire carrément faux. Je vous conseille donc de vous en tenir aux forums des Helper que je conseille ci-dessous, bien sûr ce ne sont pas les seuls, mais ceux-ci sont sûr.

EDIT [19/01/2011] : Ajout d'infos concernant le traitement des logs des détecteurs

EDIT [05/12/2011] : Ajout d'infos concernant la procédure de désinfection/nettoyage automatique

EDIT [13/12/2011] : Ajout du tuto ZHPDiag (by) Malekal

J'aurais pu mettre une liste d'outils de nettoyage mais ils changent souvent et ne devraient pas être utilisés sans accompagnement.
Les personnes qui vous accompagnent dans la désinfection sont appelés Helper.

Je ne n'ai pas le statut de Helper dans la communauté antivirale, en revanche j'en côtoie de temps en temps pour moi-même (Erreur 17 ou PEBKAC) ou pour des amis, mais en ce moment, c'est plus pour les infections au boulot. Un Helper c'est une personne qui intervient pour vous aider à désinfecter votre poste de travail. Il prend votre problème dés le départ et vous guide jusqu'à la résolution de celui-ci.

Je préfères donc vous parler d'eux.
Je ferais surement un focus sur certains outils mais avec la mention [Expert].

Ces Helper se retrouvent sur différents sites qui vous proposent de vous aider en suivant leur procédures, certains ont même développé des outils de diagnostic spécifique.

D'autant que certains outils de nettoyage ne doivent absolument pas être utilisé sans être guidé par un Helper, par exemple pour Combofix, il n'existe aucune documentation de l'outil. Seuls les Helper en connaissent son plein fonctionnement.


Les sites d'aides à la désinfection.

Voici ceux que je connais qui sont en français :
* Malekal : en premier car j'ai noué de bonnes relations avec son auteur Malekal_Morte Wink, mais aussi car ses analyses et ses tutos sont bien réalisés.
* Libellules : De bon tutos aussi
* Zebulon : Ils disposent d'outils spécifiques
* Generation NT : Plus grand public (on y retrouve les Helper des autres forums)



Comme cela se passe ?

1. Vous êtes infectés ou vous soupçonnez la présence d'un virus

2. Vous allez sur un des sites en question et vous vous inscrivez au forum si vous ne l'êtes pas encore :

  • Malekal : http://forum.malekal.com/
  • Libellules : http://www.libellules.ch/phpBB2/
  • Zebulon : http://forum.zebulon.fr/
  • GNT : http://forum.generation-nt.com/

3. Certains sites demandent à ce que vous réalisiez certaines opération avant de poster votre problème dans la section adéquate :

  • Malekal : http://forum.malekal.com/avant-poster-dans-partie-virus-t12023.html
  • Libellules : http://www.libellules.ch/phpBB2/procedure-de-demande-de-desinfection-nettoyage-analyse-t26986.html
  • Zebulon : http://forum.zebulon.fr/procedure-de-demande-d-aide-et-desinfection-nettoyage-t138211.html
  • GNT : http://forum.generation-nt.com/securite-and-virus/procedure-a-suivre-cas-dinfection-merci-poster-rapports-demandes-166456/
4. Ensuite vous allez dans la section adéquate pour expliquer votre problème :

  • Malekal : http://forum.malekal.com/virus-trojans-spywares.html
  • Libellules : http://www.libellules.ch/phpBB2/desinfection-analyse-hijackthis-f35.html
  • Zebulon : http://forum.zebulon.fr/analyse-rapports-hijackthis-eradication-malwares-f51.html
  • GNT : http://forum.generation-nt.com/securite-and-virus/

Dans les explications que vous donnerez, soyez précis.

  • Quel est votre système d'exploitation (attention la désinfection des Windows crackés n'est pas supporté !)
  • Quels sont les messages renvoyés par votre antivirus ?
  • Quels sont les messages renvoyés par le virus (messages publicitaires, faux messages d'alertes, etc) ?
  • Quel est le comportement du PC (lenteur, reboot intempestif, écran bleu, antivirus désactivé, charge réseau importante alors que vous ne faites rien, etc) ?
  • Toutes autres indications pouvant mettre sur la piste du virus.
  • Si vous avez des copies d'écran, c'est encore mieux !

Arrivé là vous serez pris en charge par un Helper.

On va vous demander de télécharger certains outils et de poster le résultat sur le forum.
Ce sera tout d'abord un outil de diagnostique type DDS ou Hijackthis ou les deux.
Ensuite on va vous guider dans la désinfection (reboot en mode sans échec, exécution d'un outil particulier, etc)



Remarque : quand vous postez un log, evitez de le poster tel quel sur le forum mais plutôt entre balises [ code][ /code] ou [ quote][ /quote] :

Ne faites pas comme ça :

Kikoo lol g un virus é ge c pa kommen le désinfecte voil le résul du prog

DDS (Ver_09-12-01.01) - NTFSx86
Run by *** at 11:22:42,15 on 24/01/2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.446.81 [GMT 1]

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe


Mais faites comme ça :

Voici le résultat renvoyé par DDS :

DDS (Ver_09-12-01.01) - NTFSx86
Run by DUPONT at 11:22:42,15 on 24/01/2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.446.81 [GMT 1]

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe


ou bien comme ça :

Code:
DDS (Ver_09-12-01.01) - NTFSx86 
Run by DUPONT at 11:22:42,15 on 24/01/2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.446.81 [GMT 1:00]

AV: AntiVir Desktop *On-access scanning enabled* (Updated)  {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe

ça facilitera la lecture entre vos commentaires et le résultat des logs.


Analyse des logs

Un certains nombre d'outils proposés par les Helper produisent des logs servant à lister tous les éléments du système.
Ces logs sont difficilement analysables par le commun des mortels.
Heureusement Zebulon.fr propose un outil, Zeb Help Process qui est capable d'identifier et de classer par nocivité les processus. Il propose même un outil d'éradication.
A utiliser si vous ne pouvez pas faire appel à un Helper.

L'outil est capable d'analyser les logs provenant de :

  • DiagHelp de Malekal: http://www.malekal.com/download/DiagHelp.zip
  • Hijackthis de Trendmicro: http://free.antivirus.com/hijackthis/
  • PCA Sécurité de Evolsa: http://www.evosla.com/view.download/
  • Run Scanner: http://www.runscanner.net/
  • Deckard's System Scanner (DSS): http://www.geekstogo.com/forum/index.php?autocom=downloads&showfile=19
  • OldTimer's OTL: http://assiste.forum.free.fr/viewtopic.php?t=26725 ou http://www.geekstogo.com/forum/topic/2852-malware-and-spyware-cleaning-guide/
  • Zebulon Help Process Diag (>Tuto ZHDiag/Process/Scan<): http://telechargement.zebulon.fr/zhpdiag.html


Il peut réorganiser les logs issus de :

  • Kaspersky Antivirus Online (KAV): http://www.kaspersky.com/kos/eng/partner/71365/pages/default/check.html?n=1295443632580 (attention c'est une vieille version...)
  • Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam.php


Note : ZHPDiag, ZHPFix et ZHPSearch sont maintenant intégré à Zeb Help Process.

Malekal fournit lui aussi un service automatique d'analyse des logs : http://pjjoint.malekal.com
Voir l'explication ici : http://www.malekal.com/2011/02/10/beta-pjjoint-evaluer-ses-rapports-hijackthis-otl-et-zphdiag/

pjjoint.malekal.com évolue et propose une procédure de désinfection/nettoyage automatique.
> http://www.malekal.com/2011/12/05/pjjoint-optimisationdesinfection-en-autonome/


Dernière édition par sioban le Mar 13 Déc 2011 - 14:21, édité 13 fois
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Freyja Mar 16 Fév 2010 - 15:09

Un exemple d'une désinfection : http://forum.malekal.com/post193303.html#p193303
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Remuald Jeu 27 Mai 2010 - 15:05

je commence Smile

Firefox: 3.6.3
Internet Explorer : 8.0.6001.18702
Microsoft Windows XP Professionnel 5.1.2600 SP3

Antivirus, Symantec Norton

Virus détecté dans systemrestore et windows recovery console=> Trojan.Fake.AV!gen24
Virus détecté dans un dossier sur la racine Qoobox => Backdoor.Tidserv!inf

pour l'instant j'ai désactivé le service de restauration windows
fait un scan norton complet, un passage de combofix et malware's byte.
Remuald
Remuald
Coadmin
Coadmin

Nombre de messages : 31630
Localisation : anywhere

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Freyja Jeu 27 Mai 2010 - 16:13

Ce que tu trouves dans qoobox c'est ce qu'a viré combofix, tu peux virer ce répertoire.

Je préfères utiliser DrWeb sur un live CD/USB (UBCD4WIN par exemple) qu'un produit comme Norton AV...
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Remuald Jeu 27 Mai 2010 - 18:24

norton c'est pas mon choix ^^'
Remuald
Remuald
Coadmin
Coadmin

Nombre de messages : 31630
Localisation : anywhere

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Freyja Jeu 27 Mai 2010 - 18:43

Oui mais même en c'est bien d'avoir un clé USB live réalisée avec UBCD4WIN sur laquelle tu mets un DrWeb.

Pourquoi ?

Déjà deux scans valent mieux qu'un (élimine les FP, détectent les virus non vu par l'un ou l'autre).

Et ensuite une détection en mode LiveUSB/CD permet de trouver des virus qui seraient cachés du système.
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Remuald Jeu 27 Mai 2010 - 18:49

je vais regarder cette solution Smile
Remuald
Remuald
Coadmin
Coadmin

Nombre de messages : 31630
Localisation : anywhere

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Freyja Mer 29 Sep 2010 - 11:50

Les produits d'analyse des Helper de Zebulon mis à jour : http://www.zebulon.fr/actualites/6057-nicolas-coolman-zeb-help-process-zhpfix.html
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Freyja Dim 19 Déc 2010 - 13:37

Ajout du tuto de malekal
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Freyja Mer 22 Déc 2010 - 8:48

Ajout d'un commentaire concernant les faux blogs de sécurité
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Freyja Mer 19 Jan 2011 - 14:37

Ajout de la section Analyse des logs
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Freyja Dim 13 Fév 2011 - 13:50

ajout de pjjoint.malekal.com
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Freyja Lun 5 Déc 2011 - 10:36

pjjoint.malekal.com évolue et propose une procédure de désinfection/nettoyage automatique.
> http://www.malekal.com/2011/12/05/pjjoint-optimisationdesinfection-en-autonome/
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par pmgamer Lun 5 Déc 2011 - 10:54

Merci
pmgamer
pmgamer
NHFR All Stars
NHFR All Stars

Nombre de messages : 12433
Localisation : Nulle Part Ailleurs

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par robin44 Lun 5 Déc 2011 - 13:22

Bien ça !
robin44
robin44
Modérateur
Modérateur

Nombre de messages : 6577
Localisation : Missillac

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Remuald Lun 5 Déc 2011 - 22:46

Merci
Remuald
Remuald
Coadmin
Coadmin

Nombre de messages : 31630
Localisation : anywhere

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par nico44z Lun 5 Déc 2011 - 22:50

Merci
nico44z
nico44z
Coadmin
Coadmin

Nombre de messages : 19973
Localisation : saint seb

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Hitman1 Lun 5 Déc 2011 - 23:26

clair merci ! ViveNHFR
Hitman1
Hitman1
NHFR member
NHFR member

Nombre de messages : 1860
Localisation : Orvault

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Freyja Mar 13 Déc 2011 - 14:17

Ajout d'infos concernant ZHPDiag, un autre analyseur type OTL/Hijakthis/DiagHelper développé à la base pour les utilisateurs du forum Zebulon.
> http://www.malekal.com/2011/12/13/zhpdiag-presentation-et-tutoriel/
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Freyja Ven 24 Fév 2012 - 8:06

Hijackthis vient de passer en OpenSource !
Espérons que cela le fera évoluer dans le bon sens !!
> http://blogmotion.fr/systeme/telecharger-hijackthis-7939
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Zeitoon Ven 24 Fév 2012 - 9:35

ou pas si esprits mal intentionnés !
Zeitoon
Zeitoon
Administrateur
Administrateur

Nombre de messages : 32276
Localisation : N : 47.08.13 O : 01.40.48

http://www.nhfr.org

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Freyja Ven 24 Fév 2012 - 9:49

Qui dit OpenSource ne dit pas la fête du Slip !

Si c'est des modifs à HijackThis elles seront forcément validée par Trendmicro (puisqu'il appartient à Trend), sinon on pourra utiliser le code lui-même pour le faire évoluer en fork
Freyja
Freyja
Coadmin
Coadmin

Nombre de messages : 21093
Localisation : Perdue dans les genres

Revenir en haut Aller en bas

Vous êtes infecté ? Voici quoi faire. Empty Re: Vous êtes infecté ? Voici quoi faire.

Message par Contenu sponsorisé


Contenu sponsorisé


Revenir en haut Aller en bas

Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum