Virus - Méthode préliminaire de désinfection

Septembre 2016



Comme il vaut mieux prévenir que guérir, une visite préalable sur la page http://sebsauvage.net/safehex.html vous permettra de savoir comment protéger efficacement votre PC.


Introduction

Si vous avez un doute quant à la bonne santé de votre PC, cela peut être la manifestation des prodromes d'une quelconque infection...

Dans le dessein de gagner en vitesse et en efficacité, je vous propose une méthode préliminaire qu'il faut impérativement effectuer dans l'ordre !

Analyse avec un anti-malware


Utilisation d'un logiciel de diagnostic

Selon la personne qui vous prendra en charge, certains auront une préférence pour OTL, d'autres pour ZHPDiag ou encore FRST.

Seront ici énoncées les 3 procédures, si besoin est votre helper vous indiquera laquelle suivre.
Celle-ci consiste à utiliser un de ces logiciels et à envoyer le rapport sur un site de dépôt afin d'être consultable. Voici quelques sites de dépôts :

ZHPDiag

HijackThis est devenu insuffisant. ZHPDiag donne un rapport plus complet et plus détaillé.

Utilisation :
  • Téléchargez et lancez ZHPDiag (de Nicolas Coolman),
  • Cliquez sur Scanner,
  • Une fois l'analyse terminée, hébergez le rapport ZHPDiag.txt (présent sur le Bureau) sur un site tel que Pjjoint, puis copiez-collez le lien fourni sur le forum Virus/Sécurité de CCM dans un nouveau sujet où vous expliquerez pourquoi vous pensez être infecté (plus d'explications ici pour voir comment demander l'avis d'un expert sur le forum).
  • Les logiciels de diagnostic sont présentés ici.

FRST



Attention : vous devez prendre la version compatible avec votre système : 32 ou 64 bits. Pour le déterminer, cliquez ici.
  • Fermez toutes les applications en cours.
  • Lancez FRST (Sous Windows Vista/7/8/8.1/10, clic droit sur FRST > Exécuter en tant qu'administrateur).
  • Cochez la case Addition.txt.
  • Cliquez sur Analyser.
  • Une fois le scan terminé, deux rapports FRST.txt et Addition.txt seront présents sur le Bureau.
  • Hébergez les deux rapports sur pjjoint.malekal.com et copiez-collez les liens fournis dans votre sujet.

OTL

  • Téléchargez ici : OTL,
  • Enregistrez-le sur votre Bureau,
  • Double-cliquez dessus pour le lancer,
  • /!\ Utilisateur de Vista/Seven/8/8.1 : cliquez droit sur OTL et choisissez Exécuter en tant qu'administrateur),
  • Configuration :

  • Copiez-collez le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation" :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
  • Cliquez sur Analyse,
  • A la fin du scan, le Bloc-Notes s'ouvre avec le rapport (OTL.txt). Il y aura aussi un rapport nommé Extras.txt.
  • Ces fichiers sont sur votre Bureau (et dans C:\_OTL).
  • NE LES POSTEZ PAS SUR LE FORUM (ils sont trop longs)
  • Hébergez OTL.txt et Extras.txt sur Pjjoint ou Cjoint.com et donnez les liens obtenus à l'expert.


NOTE : Vous pouvez utiliser le service pjjoint afin d'évaluer vos rapports comme l'explique l'astuce suivante : http://www.commentcamarche.net/faq/40484-evaluer-ses-rapports-hijackthis-otl

Avis d'un expert

Une fois ces manipulations effectuées dans l'ordre, votre PC devrait être d'ores et déjà moins infecté.

Néanmoins, afin de s'en assurer, je vous invite à poster les rapports (le rapport de Malwarebytes' Anti-Malware + le(s) rapport(s) du logiciel de diagnostic) sur le forum Virus/Sécurité où un expert vous guidera pour la suite.

Pour transmettre les rapports :

Bonne chance ! ;)

À consulter aussi

Rapports antivirus, gardez votre anonymat sur les forums
Antivirus gratuits, lequel choisir ?
Virus : que faire quand on est infecté ?
Sécurisez votre machine / Une sécurité efficace ? ça existe !

A voir également :

Ce document intitulé «  Virus - Méthode préliminaire de désinfection  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.