Comment supprimer Virut ?

Septembre 2016

Sommaire :


Qu'est-ce que l'infection Virut ?


Virut est un virus qui infecte, entre autres, les exécutables (fichiers .exe). Il est apparu en 2006 et s'attrape via les Cracks et le Peer-To-Peer (P2P) (comme eMule, Limewire, etc.).

Ce virus infecte les fichiers systèmes de Windows, c'est-à-dire les fichiers vitaux pour Windows.

C'est une infection très difficile à supprimer et si elle a trop d'ampleur, le formatage devient inévitable.

Il existe des variantes comme Sality, Virtob, Vitro, JunkPoly.
La dernière variante nommée Scribble n'a pas encore de solution autre que le formatage.

Mise en garde importante


Souvent ce type d'infection ouvre des portes à divers autres intrus, comme des troyens, analyseurs de frappes (keyloggers), etc.

Il est donc hautement recommandé de changer vos mots de passe importants. Cela peut prendre du temps mais si durant la période d'infection, vous avez inscrit des identifiants, dîtes-vous bien qu'ils sont possiblement récupérés.

Vous aurez beau "blinder" votre PC nouvellement propre que ceci n'y changerait rien sur le mal déjà fait.

/!\Très important/!\ : l'infection étant très difficile à retirer et pouvant abîmer des fichiers systèmes, je vous recommande vivement de vous faire aider sur le forum Virus/Sécurité surtout si vous n'avez pas l'habitude de toucher aux "entrailles" de Windows.

Comment éviter Virut ?


Il faut tout simplement faire très attention à ce que vous téléchargez sur les réseaux Peer-To-Peer. Évitez tout logiciel cracké. Il existe souvent des alternatives gratuites aux logiciels crackés : par exemple, des équivalents de Nero gratuits ou des équivalents de Photoshop gratuits.

Il n'est pas question ici de bannir l'échange P2P. Le P2P peut être utilisé pour télécharger des fichiers libres de droits, ce qui est tout à fait légal (par exemple, des distributions Linux).

Fonctionnement de Virut


Sans entrer dans les détails, disons simplement que ce type de "virus" est en quelque sorte similaire aux virus humains dans le sens où il se loge dans des "cellules saines" et vitales du système.

C'est pourquoi, il est souvent non-envisageable de supprimer tous les fichiers infectés car vous risquez d'amputer ainsi le système d'exploitation qui deviendrait instable, voire inutilisable.

En plus d'infecter les programmes et les fichiers de Windows, il possède des fonctionnalités permettant de prendre le contrôle à distance des machines contaminées à l'aide d'IRC (soit un canal qui lui est octroyé afin de commettre ses méfaits).

Ce virus contamine les disques amovibles (clé USB, disque dur externe, etc.) ayant été en contact avec le PC infecté.

Le virus a la capacité d'intercepter l'accès Internet des applications infectées, lui permettant ainsi de déjouer les politiques de sécurité des pare-feux utilisés.

Ce qui veut dire qu'un des programmes légitimes, ayant la permission de se connecter sur Internet, peut voir son identité usurpée par Virut : les protections ne réagiront pas.

Le corps même du virus contient d'ailleurs dans ses entrailles des liens depuis lesquels il peut recevoir des instructions via le canal IRC qui est en quelque sorte son lien avec le "quartier général".

Il est donc très recommandé voire obligatoire de déconnecter la machine d'Internet.

N'oubliez pas que le temps est votre pire ennemi.

Méthode préliminaire


Il faut sauvegarder vos documents, et précieux de préférence, sur des CD/DVD à graver.

Ne sauvegardez aucun logiciel exécutable, zippé (.zip), compressé (.rar), fichiers .scr, vous risqueriez de sauvegarder un fichier infecté par Virut. N'oubliez pas qu'un seul fichier Virut peut infecter le reste du PC.

Si vous avez un deuxième PC :

Comme dit plus haut, il faut déconnecter le PC infecté d'Internet, ce qui veut dire que vous ne pourrez pas télécharger les logiciels demandés.

Donc à l'aide d'une autre machine "propre" et non connectée sur le réseau partagé par le PC malade, vous pouvez télécharger sur une clef USB ou autre support amovible les programmes servant à la désinfection (Dr.Web CureIt! par exemple).

Prenez soin de scanner ces supports amovibles avec un logiciel antivirus et avec FlashDisinfector avant de l'utiliser. Ce support amovible doit être ouvert "en lecture seule de préférence" sur le poste infecté, ainsi toute écriture doit être interdite. Mais à date, en mode sans échec, il n'y a pas eu de cas de contamination de la clef USB.

Alors pour ne pas tenter le sort et mettre en péril le média amovible, assurez-vous que celui-ci ne contienne que les logiciels proposés ici puis cliquez droit sur la clef et ouvrir.

Une fois le contenu de la clef ayant fait son travail, formatez la clef.

Je vous conseille de graver les outils (Dr.Web CureIt!, AVPTool, etc.) sur un CD-RW à partir d'un PC non infecté car le CD-RW ne pourra pas être infecté par Virut et le CD-RW pourra être formaté (ce qui n'est pas le cas d'un CD-R, vous pourrez le jeter après utilisation car les outils sont mis à jour très régulièrement).

Si votre PC est planté, vous pouvez récupérer vos documents avec un CD Live de Linux par exemple : Lien

Pour l'infection Virut, il faut désactiver la restauration système dès le début de la désinfection car les points de restauration infectés peuvent infectés le reste du PC même sans faire de restauration système :

Réactiver la restauration système quand votre PC sera désinfecté.

Première méthode : Dr.Web CureIt!


Le programme idéal n'est pas encore né donc vous allez sûrement devoir utiliser les 3 programmes proposés (Dr.Web, AVPTool et eScan).

Les résultats dépendent de la sévérité et de l'étendue de l'infection. En effet, il est possible que le mal soit trop étendu et que des fichiers systèmes soient infectés, ce qui signifie qu'il faudrait remplacer de fichiers vitaux manuellement : cette manipulation est un peu plus pointue.

Sur la machine infectée, vous devez éviter toutes connexions au Net, mais si vous n'avez qu'un PC, vous n'aurez pas le choix.
  • Téléchargez Dr.Web CureIt! sur votre Bureau.
  • Double-cliquez sur drweb-cureit.exe et cliquez sur Ok.
  • Acceptez le contrat en cochant la case "J'accepte de participer au programme [...]", et cliquez sur Continuer.
  • Cliquez sur Sélectionner les objets pour l'analyse, puis cochez la case Objets d'analyse.
  • Cliquez sur Cliquez pour sélectionner des fichiers et dossiers, puis cochez Mon ordinateur.
  • Cliquez sur Lancer l'analyse, puis patientez le temps du scan.
  • Lorsque le scan est terminé, veillez à ce que tous les éléments soient cochés, puis cliquez sur Neutraliser. Patientez le temps que le logiciel neutralise les menaces détectées.
  • Fermez Dr.Web CureIt!, et acceptez de redémarrer votre ordinateur : ceci est très important, certains fichiers peuvent être déplacés/réparés au redémarrage.
  • Vous pouvez poster votre rapport dans le forum Virus / Sécurité si vous vous faites aider. Afin de le trouver, faites Démarrer puis Exécuter (ou Windows + R), tapez dans la fenêtre %USERPROFILE%\Doctor Web\cureit.log puis Ok. Le rapport s'ouvre.


Remarque : Dr.Web en version gratuite est un scanner à la demande et n'entre pas en conflit avec votre antivirus résident. Vous pourrez finalement supprimer Dr.Web à la fin des manipulations.

Deuxième méthode : AVPTool


Le scan va s'effectuer en Mode sans échec : comme vous n'aurez pas accès à Internet, je vous conseille d'imprimer cette procédure.
  • Téléchargez le scanner portable AVPTool sur votre Bureau.
  • Redémarrer en mode sans échec :
    • Redémarrez ton PC.
    • Au démarrage, tapotez sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
    • Dans le menu d'options avancées, choisissez Mode sans échec.
    • Choisissez votre session habituelle.
  • Lancez l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
  • Répondez Oui à la question Do you want to continue installation ?.
  • Cliquez sur Next pour les deux fenêtres suivantes : AVPTool s'installe sur votre Bureau dans un dossier nommé Kaspersky Lab Tool.
  • L'outil se lance tout seul : cochez toutes les cases dans l'onglet Automatic Scan.
  • Cliquez maintenant sur Scan. Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
  • A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up : cochez alors Apply to all et cliquez sur Disinfect ou sur Delete selon ce que propose la fenêtre.
  • Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés : ils apparaissent en rouge dans la liste : cliquez alors sur le bouton Neutralize all de la fenêtre de progression du scan : si une pop-up indique qu'il faut redémarrer, acceptez en cliquant sur OK.
  • Rendez-vous maintenant dans l'onglet Events de la fenêtre de progression du scan et décochez Show all events.
  • Cliquez enfin sur Reports puis Save to file et enregistrez le rapport sur votre Bureau sous le nom Rapport AVPTool.
  • Fermez les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel : choisissez Yes.
  • Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, répondez Oui et laissez votre ordinateur redémarrer en Mode normal.
  • Postez le rapport dans votre prochaine réponse si vous avez créé un sujet sur le forum Virus/Sécurité.

Troisième méthode : eScan Antivirus Toolkit


Le scan va s'effectuer en Mode sans échec : comme vous n'aurez pas accès à Internet, je vous conseille d'imprimer cette procédure.

Étape 1 :
  • Téléchargez eScan Antivirus Toolkit sur votre Bureau.
  • Double-cliquez le fichier mwav.exe qui se trouve sur le Bureau ; dézippez les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer et vous devez le quitter (cliquez sur Exit puis Exit).
  • Double-cliquez sur le Poste de travail (Ordinateur sous Vista), puis double-cliquez sur le lecteur principal (habituellement C:\), double-cliquez sur le dossier Kaspersky ; ensuite, double-cliquez sur le fichier kavupd.exe. Vous verrez maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
  • Lorsque la mise à jour sera complétée, vous verrez Press any key to continue ; tape sur une touche pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
  • Sélectionnez/copiez tous les fichiers présents dans le dossier C:\Downloads, puis collez-les dans le dossier C:\Kaspersky. Acceptez à l'invite de remplacer les fichiers existants.


Ne pas lancer le scan tout de suite !

Étape 2 :
  • Redémarrez le PC.
  • Au démarrage, tapotez sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
  • Dans le menu d'options avancées, choisissez Mode sans échec.
  • Choisissez votre session.


Étape 3 :
  • Pour lancer eScan Antivirus Toolkit, trouvez le fichier mwavscan.com situé dans le dossier C:\Kaspersky.
  • Double-cliquez sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.
  • Il est très important de bien cocher ces cases sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
  • Cochez la case Drive, ce qui donne accès à une nouvelle case Drive (bouton rond) juste dessous ; cochez ce bouton Drive (très important...), et vous verrez une nouvelle boîte de navigation apparaître à la droite. Cliquez sur la petite flèche de cette boîte and choisissez la lettre de votre disque dur, habituellement C:\.
  • Juste au-dessous, assurez-vous que Scan All Files est coché et non Program Files.
  • Cliquez sur Scan Clean et laissez le tool vérifier tout le disque dur (ça peut être long...). Lorsque terminé, vous verrez Scan Completed. Ne pas quitter tout de suite !
  • Ouvrez un nouveau fichier Bloc-notes (cliquez sur "Démarrer" > "Programmes" > "Accessoires" > "Bloc-notes"), puis copiez/collez tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegardez-le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
  • Fermez le programme. Redémarrez votre PC en Mode normal. Postez (copiez/collez) le rapport que vous avez sauvegardé dans votre sujet si vous en avez créé un.

Quatrième méthode : rmvirut (d'AVG)

  • Téléchargez rmvirut sur votre Bureau.
  • Redémarrez en mode sans échec.
  • Double-cliquez sur rmvirut pour lancer le scan. Il va nettoyer les fichiers infectés.

(Sous Vista, il faut cliquer droit sur rmvirut et choisir Exécuter en tant qu'administrateur)
  • Si rmvirut demande un redémarrage, acceptez.


Tutoriel sur rmvirut.

Cinquième méthode: Virutkiller


Ce logiciel conçu par kaspersky permet éradiquer la variante virut.ce (Virus.Win32.Virut.ce) uniquement.
  • Téléchargez Virutkiller ici:

http://support.kaspersky.com/downloads/utils/virutkiller.zip
  • Décompressez l'archive dans un dossier
  • Lancez le logiciel et attendez qu'il finisse le nettoyage


infos: http://support.kaspersky.com/viruses/solutions?qid=208280756

Sixième méthode: FixVirut


Ce logiciel conçu par symantec (Norton) est déstiné à l'érradication de la variante W32.Virut.CF.
  • Téléchargez FixVirut de symantec ici:

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixVirut.com.
  • Décompressez l'archive dans un dossier
  • Lancez le logiciel et attendez qu'il finisse le nettoyage


infos: http://us.norton.com/security_response/writeup.jsp?docid=2009-022016-4444-99

Formatage : KillDisk


Quand le PC est trop infecté, il faut formater (avec KillDisk par exemple). Un formatage normal connait des ratés avec Virut, c'est-à-dire que Virut revient après le formatage.

Certains PC de marque comme Acer, Packard Bell ou HP ont des partitions de réinstallation et proposent de créer un DVD de réinstallation propre à la marque. Malheureusement, avec un formatage avec KillDisk, cela supprimera ou abîmera la partition et le DVD de réinstallation sera inutilisable. Dans ce cas-là, vous ne pourrez plus réinstaller Windows à part en trouver un CD d'installation correspond à la licence de Windows que vous avez :



Par contre, certaines marques comme Asus, fournisse un vrai CD/DVD d'installation Windows contenant seulement le système d'exploitation (XP ou Vista selon votre PC) et un autre CD/DVD avec les pilotes et logiciels. Avec un CD/DVD d'installation d'XP/Vista, vous pourrez réinstaller votre Windows après formatage avec KillDisk.

Si vous ne savez pas si vous avez le bon CD, demandez conseil.

L'utilisation de KillDisk est "aux grands maux, les grands moyens". Cette méthode est inévitable si :
  • vous ne vous sentez pas à l'aise pour suivre la méthode de Dr.Web ou AVPTool,
  • Dr Web a amputé des parties vitales au bon fonctionnement de la machine (ce qui est rare, mais possible, si le virus a pénétré trop profondément dans la machine),
  • vous ne voulez pas du tout vous compliquer la vie et optez pour le formatage.


Le formatage bas-niveau peut (dans certains cas) mettre en danger le BIOS.

KillDisk réécrira des (0) partout sur le disque dur, le rendant vierge comme à la sortie d'usine sans aucune donnée à vous, donc il faut sauvegarder vos documents comme expliqué plus haut.
  • Téléchargez le fichier boot-cd-iso.zip sur votre Bureau.
  • Faites un clic-droit sur le fichier et choisissez Extraire pour le décompresser.
  • Vous pouvez utiliser IsoBurner.exe qui se trouve dans le dossier décompressé pour graver l'image ISO sur un CD vierge ou vous pouvez utiliser votre logiciel de gravure.
  • Une fois la gravure terminée, celui-ci est prêt à l'emploi.


Il faut maintenant changer la séquence de démarrage dans le BIOS pour pouvoir démarrer sur le CD que vous venez de créer.
  • Au démarrage du PC, appuyez sur la touche Suppr ou F2 de votre clavier pour accéder au BIOS.
  • Dans le BIOS, allez dans l'onglet Boot (Démarrage). Choisissez Boot Device Priority et pressez Entrée.
  • Choisissez 1st Boot Device, validez avec Entrée puis choisissez le lecteur CD/DVD.
  • Validez la modification avec F10 puis OK pour redémarrer.
  • Mettez le CD dans le lecteur.


Le CD va démarrer et KillDisk va se lancer.
  • Dans la fenêtre principale de KillDisk, sélectionnez le disque ou la partition à traiter.
  • On peut vérifier son contenu par CTRL+S. Pour lancer le traitement Entrée.
  • Dans le cartouche rouge, il faut taper ERASE-ALL-DATA. Le clavier étant en QWERTY, il faut taper Q pour faire un A et taper = pour faire un -.
  • Validez par Entrée.


Une barre de progression vous tiendra au courant de l'avancement du processus. L'opération peut prendre un certain temps, voire une heure, selon la taille du disque ou de la partition à traiter.

Une fois terminé, remettre le démarrage dans le BIOS sur le disque dur. Il ne vous reste plus qu'à réinstaller Windows, vos logiciels, vos documents...

Tutoriel avec images : Formater avec Killdisk

Bonne chance et surtout faîtes attention en téléchargeant avec des logiciels P2P. ;)

Merci à Jalobservateur qui a pondu le premier jet de cet article.

A voir également :

Ce document intitulé «  Comment supprimer Virut ?  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.