Méthode parano de désinfection

Décembre 2016

Quand les outils traditionnels (antivirus, antivirus en ligne, antispywares, HijackThis...) vous disent que tout va bien, mais que vous avez un doute, vous pouvez très bien passer en mode parano et effectuer des scans extensifs.

ATTENTION: Ces outils sont destinés à des personnes averties, car non seulement ils lèvent beaucoup de fausses alertes, mais en prime il peuvent vous permettre de planter votre système.

Sommaire


Antivirus en ligne Kaspersky

Kaspersky possède l'un des meilleurs taux de détections existants. Leur antivirus en ligne est gratuit et peut fonctionner à partir d'Internet Explorer. Attention: En revanche, il ne désinfecte pas.
Allez sur Kaspersky et cliquez sur le bouton "Kaspersky Online Scanner".
(Acceptez le contrôler ActiveX).

Cet antivirus se met à jour dès le chargement.
Accès internet obligatoire pour le faire fonctionner.
Cet antivirus permet de détecter mais ne désinfecte pas.

Antivirus Dr.Web

Dr.Web est également un antivirus, mais qui a la fâcheuse tendance de donner des faux positifs (Alertes alors qu'il n'y a rien).
Cependant, sa paranoïa en fait un bon outils pour scanner de manière détaillée un disque. En particulier, Dr.Web signale les outils d'administration (tels que VNC, RADmin, SysInternals PSTools, WGARemove, etc.) qui ne sont considérés ni comme virus, ni troyen par tous les autres antivirus.
Cela peut être utile pour débusquer des outils d'administration distants utilisés à de mauvaises fins.

Il est nécessaire de le télécharger et l'exécuter localement. Cet antivirus est mis à jour plusieurs fois par semaine.
Antivirus Dr.Web

(Pas de mise à jour automatique: Il faut à chaque fois re-télécharger l'antivirus complet pour avoir les mises à jour).

Antivirus PrevX

Encore un antivirus paranoïaque, doté en prime de fonctions heuristiques.
Meme utilité que Dr.Web.

prevx

Ne fonctionne pas sans accès internet.

VirusTotal

Le site web virustotal permet de scanner un seul fichier, mais avec tous les antivirus existants.
Pratique quand un fichier vous semble louche.

Anti-rootkits

Les rootkits détournent les fonctions de base du système d'exploitation afin de masquer leur présence (accès fichiers, lecture base de registre...). Les antivirus et antispywares traditionnels ont beaucoup de mal à les détecter, ou ne les détectent pas du tout.
Voici divers anti-rootkit pour vous aider à les débusquer.
Méfiance: Certains logiciels (antivirus, firewalls, émulateurs CD, etc.) - ainsi que Windows lui-même - utilisent des techniques de rootkits pour leur fonctionnement normal.

ADSSpy

Les Alternate Datastreams sont spécifiques à NTFS (le système de fichiers de Windows 2000/XP/2003/Vista).
Ils permettent de stocker des informations concernant un fichier (méta-informations). Ces données, attachées à chaque fichier, ne sont pas visibles de l'explorateur de Windows.

Windows l'utilise pour gérer les disques, mais elles peuvent aussi être utilisées malicieusement pour stocker de grandes quantité de données sans que cela ne soit visible dans l'explorateur.

ADSSpy permet de voir toutes les Alternate Data Streams d'un disque.
adsspy

(Logiciel par l'auteur de Spybot Search & Destroy).

Process Explorer

C'est le gestionnaire de tâches par excellence, et permet de voir la liste des processus, quel processus a lancé quel autre, avec quel utilisateur, avec quelle ligne de commande, quel fichiers sont ouvert, etc.
Une fonction intégrée permet de rechercher facilement le nom de l'exécutable sur Google.

technet.microsoft.com

Note

Je ne parle pas ici des outils spécifique anti-BHO (browser helper objects) et autres, car tout ceci est très bien pris en charge par HijackThis. Pas la peine de prendre 50 outils.

Dans l'idéal, une machine qui a été infectée ou pénétrée ne devrait plus jamais être considérée comme sûre, car même les outils ci-dessus peuvent rater des choses.
Toute machine infectée devrait être reformattée et réinstallée à partir des CD originaux.

Voir aussi


A voir également :

Ce document intitulé «  Méthode parano de désinfection  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.