Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
28 avril 2011 4 28 /04 /avril /2011 23:20

A force de lire un petit peu tout et n'importe quoi sur le sujet, je me suis dit que je devrais mettre à profit le retour d'expériences de quelques années de lutte antivirale (notamment désinfection en centre d'assistance).

 

Je vais donc proposer ici un mode opératoire assez générique, qui devrait suffire dans nombre de cas. Cependant, je ne dis pas que ce sera simple, ou très rapide, mais un minimum efficace ! A bon entendeur...

 

 

Etape 1 :

 Si vous avez déjà un anivirus installé, qu'il n'arrive pas à se mettre à jour, ou qu'il ne détecte rien, passez à l'étape 2.

Si, en plus, Windows Update ne fonctionne pas/plus, passez à l'étape 3.

Si votre PC est bloqué au démarrage, ou que la session Windows ne s'ouvre plus, passez à l'étape 3. 

 

Si l'état d'infection de la machine ne vous empêche pas d'installer un antivirus comme MS Security Essential pour Windows 7 (http://www.microsoft.com/fr-fr/download/details.aspx?id=5201), ou Kaspersky Free (https://www.kaspersky.fr/downloads/thank-you/free-antivirus-download) : choisissez-en un, installez-le, et tentez de le mettre à jour. Sous Windows 10, lancez un scan "hors ligne" avec Windows Defender Offline (https://support.microsoft.com/fr-fr/help/17466/windows-defender-offline-help-protect-my-pc).

 

Si la mise à jour réussit, lancez un balayage complet, désinfectez ce qui est détecté, et passez à l'étape 2.

 

Si l'installation ou la mise à jour ne marche pas, passez à l'étape 3.

 

 

Etape 2 :

Installez MalwareByte Antimalware (http://www.filehippo.com/fr/download_malwarebytes_anti_malware/ , pensez à désactiver l'essai de la version "premium", en fin d'installation), mettez-le à jour, puis lancez un balayage complet de la machine. Téléchargez le Safety Scanner (https://docs.microsoft.com/fr-fr/windows/security/threat-protection/intelligence/safety-scanner-download) et lancez un scan. 

 

Téléchargez DrWeb CureIt (http://www.freedrweb.com/cureit/?lng=fr), et lancez un scan complet du système.

Si toujours rien n'est détecté, passez à l'étape 3. Sinon, passez à l'étape 4.    

 

Etape 3 :

Téléchargez des CD qui permettent de scanner la machine sans que votre Windows soit en fonction : c'est le mode de désinfection le plus puissant !

Voici quelques exemples de ces CD que je vous recommande : le CD Windows Defender Offline, Kaspersky Rescue Disk, Avira AntiVir Rescue System, voire le ESET Rescue CD (ex de sites pour les liens de téléchargement : http://livecdlist.com/purpose/windows-antivirus). Si vous n'êtes pas totalement allergique à l'anglais, et que vous préférez travailler sur clé USB, je vous conseille le "tout intégré" SARDU (http://www.sarducd.it/).

 

Si vous avez déjà un live CD à base de noyau Win32 (type WinPE, ou BartCD), je vous recommande fortement de télécharger Sophos en version ligne de commande (SAV32CLI, http://www.sophos.com/fr-fr/support/knowledgebase/13251.aspx) et de lancer un scan complet.

 

 

Redémarrez votre machine et :

- tentez à nouveau d'installer un antivirus de votre choix. Si cela ne fonctionne pas, passez à l'étape 5. Réalisez l'étape 2 si ce n'est pas déjà fait, et passez à l'étape 4.

- si vous avez un antivirus installé et fonctionnel, vérifiez qu'il se met bien à jour et qu'il a bien scanné entièrement le PC récemment.

 

Si avez encore des doutes, tentez l'étape 5.

 

 

Etape 4 :

Prenez le CD d'installation de Windows, insérez-le dans le lecteur de CD/DVD, et ouvrez une ligne de commande pour y taper :

sfc / scannow.

Ceci va vérifier que les fichiers de Windows sont bien intègres (ils peuvent avoir été altérés à cause de votre infection virale).

 

Vérifiez que Windows Update fonctionne (forcez une vérification des mises à jour disponibles), et que votre antivirus est à jour (forcez sa mise à jour).

 

Le problème viral devrait maintenant être réglé !

 

 

Etape 5 :

 

     

Essayer des scan en ligne : ESET Online scanner (http://www.eset.com/fr/home/products/online-scanner/), ou Kaspersky Online Scanner (http://www.kaspersky.com/fr/virusscanner). Autre idée, essayer une solution antivirale "dans le nuage" avec des fonctions d'émulation/Analyse de code en dynamique avancées, ex Panda Cloud (http://www.cloudantivirus.com/en/#!/free-antivirus-download).

 

 

Si vous avez toujours un doute sur le fait que votre machine soit infectée, il reste la solution de l'anti-rootkit, sous Windows.  

Je vous recommande GMER, Sophos Anti-Rootkit, AVG AntiRootkit. NB  CureIT a aussi des fonctions avancées d'anti-rootkit.

 

Lancez des analyses du système et relevez les éléments trouvés. Attention, certains peuvent être parfaitement légitimes (comme des pilotes, ou des produits comme DaemonTools, etc)

Vérifiez chacun des fichiers signalés.

Au besoin, redémarrez la machine avec un CD, prélevez le fichier "suspect", et soumettez-le à VirusTotal ou VirScan (voire au bac à sable en ligne de PC Tools, si vous connaissez).

 

Vous devriez alors arriver à trier le bon grain de l'ivraie.

 

Une fois l'anti-rootkit de passé, vous pouvez utiliser les outils Sysinternals pour vérifier de A à Z le système Windows. Attention, cela n'est valable que si un anti-rootkit a été passé au préalable, puisque les produits Sysinternals lisent de façon exhaustive les API Microsoft, mais ces dernières peuvent être détournées par une fonction rootkit d'un code viral...

 

La toute dernière option sera donc la plus lourde et complexe : soit prend un dump (complet) de la mémoire de la machine, soit la démarrer en mode de débogage noyau. Puis avec un débogueur comme WinDBG, vous pourrez lister les processus et modules chargés (commandes !process 0 1, lmf, .dml_start, etc) pour comparer les résultats avec ce que vous voyez avec ProcessExplorer par exemple.    

 

 

Bonne chance / chasse !

Partager cet article

Repost0

commentaires