Vous êtes infecté ? Voici quoi faire.

EDIT [19/12/2010] : Malekal_morte a mise en ligne un tuto de désinfection des PC sévèrement infectés : http://www.malekal.com/2010/11/12/tutorial-et-guide-procedure-standard-de-desinfection-de-virus/

EDIT [22/12/2010] : Attention aux faux désinfecteurs, si vous faites une recherche google concernant certaines infections, vous tombez sur de faux blogs vous incitant à acheter des produits inutiles, voire carrément faux. Je vous conseille donc de vous en tenir aux forums des Helper que je conseille ci-dessous, bien sûr ce ne sont pas les seuls, mais ceux-ci sont sûr.

EDIT [19/01/2011] : Ajout d'infos concernant le traitement des logs des détecteurs

EDIT [05/12/2011] : Ajout d'infos concernant la procédure de désinfection/nettoyage automatique

EDIT [13/12/2011] : Ajout du tuto ZHPDiag (by) Malekal

J'aurais pu mettre une liste d'outils de nettoyage mais ils changent souvent et ne devraient pas être utilisés sans accompagnement.
Les personnes qui vous accompagnent dans la désinfection sont appelés Helper.

Je ne n'ai pas le statut de Helper dans la communauté antivirale, en revanche j'en côtoie de temps en temps pour moi-même (Erreur 17 ou PEBKAC) ou pour des amis, mais en ce moment, c'est plus pour les infections au boulot. Un Helper c'est une personne qui intervient pour vous aider à désinfecter votre poste de travail. Il prend votre problème dés le départ et vous guide jusqu'à la résolution de celui-ci.

Je préfères donc vous parler d'eux.
Je ferais surement un focus sur certains outils mais avec la mention [Expert].

Ces Helper se retrouvent sur différents sites qui vous proposent de vous aider en suivant leur procédures, certains ont même développé des outils de diagnostic spécifique.

D'autant que certains outils de nettoyage ne doivent absolument pas être utilisé sans être guidé par un Helper, par exemple pour Combofix, il n'existe aucune documentation de l'outil. Seuls les Helper en connaissent son plein fonctionnement.


Les sites d'aides à la désinfection.

Voici ceux que je connais qui sont en français :
* Malekal : en premier car j'ai noué de bonnes relations avec son auteur Malekal_Morte , mais aussi car ses analyses et ses tutos sont bien réalisés.
* Libellules : De bon tutos aussi
* Zebulon : Ils disposent d'outils spécifiques
* Generation NT : Plus grand public (on y retrouve les Helper des autres forums)


Comme cela se passe ?

1. Vous êtes infectés ou vous soupçonnez la présence d'un virus

2. Vous allez sur un des sites en question et vous vous inscrivez au forum si vous ne l'êtes pas encore :

• Malekal : http://forum.malekal.com/
  
• Libellules : http://www.libellules.ch/phpBB2/
  
• Zebulon : http://forum.zebulon.fr/
  
• GNT : http://forum.generation-nt.com/
  

3. Certains sites demandent à ce que vous réalisiez certaines opération avant de poster votre problème dans la section adéquate :

• Malekal : http://forum.malekal.com/avant-poster-dans-partie-virus-t12023.html
  
• Libellules : http://www.libellules.ch/phpBB2/procedure-de-demande-de-desinfection-nettoyage-analyse-t26986.html
  
• Zebulon : http://forum.zebulon.fr/procedure-de-demande-d-aide-et-desinfection-nettoyage-t138211.html
  
• GNT : http://forum.generation-nt.com/securite-and-virus/procedure-a-suivre-cas-dinfection-merci-poster-rapports-demandes-166456/
  

4. Ensuite vous allez dans la section adéquate pour expliquer votre problème :

• Malekal : http://forum.malekal.com/virus-trojans-spywares.html
  
• Libellules : http://www.libellules.ch/phpBB2/desinfection-analyse-hijackthis-f35.html
  
• Zebulon : http://forum.zebulon.fr/analyse-rapports-hijackthis-eradication-malwares-f51.html
  
• GNT : http://forum.generation-nt.com/securite-and-virus/
  

Dans les explications que vous donnerez, soyez précis.

• Quel est votre système d'exploitation (attention la désinfection des Windows crackés n'est pas supporté !)
  
• Quels sont les messages renvoyés par votre antivirus ?
  
• Quels sont les messages renvoyés par le virus (messages publicitaires, faux messages d'alertes, etc) ?
  
• Quel est le comportement du PC (lenteur, reboot intempestif, écran bleu, antivirus désactivé, charge réseau importante alors que vous ne faites rien, etc) ?
  
• Toutes autres indications pouvant mettre sur la piste du virus.
  
• Si vous avez des copies d'écran, c'est encore mieux !
  

Arrivé là vous serez pris en charge par un Helper.

On va vous demander de télécharger certains outils et de poster le résultat sur le forum.
Ce sera tout d'abord un outil de diagnostique type DDS ou Hijackthis ou les deux.
Ensuite on va vous guider dans la désinfection (reboot en mode sans échec, exécution d'un outil particulier, etc)



Remarque : quand vous postez un log, evitez de le poster tel quel sur le forum mais plutôt entre balises [ code][ /code] ou [ quote][ /quote] :

Ne faites pas comme ça :

Kikoo lol g un virus é ge c pa kommen le désinfecte voil le résul du prog

DDS (Ver_09-12-01.01) - NTFSx86
Run by *** at 11:22:42,15 on 24/01/2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.446.81 [GMT 1]

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe


Mais faites comme ça :

Voici le résultat renvoyé par DDS :

DDS (Ver_09-12-01.01) - NTFSx86
Run by DUPONT at 11:22:42,15 on 24/01/2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.446.81 [GMT 1]

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe

ou bien comme ça :

Code:

DDS (Ver_09-12-01.01) - NTFSx86 
Run by DUPONT at 11:22:42,15 on 24/01/2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.446.81 [GMT 1:00]

AV: AntiVir Desktop *On-access scanning enabled* (Updated)  {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe

ça facilitera la lecture entre vos commentaires et le résultat des logs.


Analyse des logs

Un certains nombre d'outils proposés par les Helper produisent des logs servant à lister tous les éléments du système.
Ces logs sont difficilement analysables par le commun des mortels.
Heureusement Zebulon.fr propose un outil, Zeb Help Process qui est capable d'identifier et de classer par nocivité les processus. Il propose même un outil d'éradication.
A utiliser si vous ne pouvez pas faire appel à un Helper.

L'outil est capable d'analyser les logs provenant de :

• DiagHelp de Malekal: http://www.malekal.com/download/DiagHelp.zip
  
• Hijackthis de Trendmicro: http://free.antivirus.com/hijackthis/
  
• PCA Sécurité de Evolsa: http://www.evosla.com/view.download/
  
• Run Scanner: http://www.runscanner.net/
  
• Deckard's System Scanner (DSS): http://www.geekstogo.com/forum/index.php?autocom=downloads&showfile=19
  
• OldTimer's OTL: http://assiste.forum.free.fr/viewtopic.php?t=26725 ou http://www.geekstogo.com/forum/topic/2852-malware-and-spyware-cleaning-guide/
  
• Zebulon Help Process Diag (>Tuto ZHDiag/Process/Scan<): http://telechargement.zebulon.fr/zhpdiag.html
  

Il peut réorganiser les logs issus de :

• Kaspersky Antivirus Online (KAV): http://www.kaspersky.com/kos/eng/partner/71365/pages/default/check.html?n=1295443632580 (attention c'est une vieille version...)
  
• Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam.php
  

Note : ZHPDiag, ZHPFix et ZHPSearch sont maintenant intégré à Zeb Help Process.

Malekal fournit lui aussi un service automatique d'analyse des logs : http://pjjoint.malekal.com
Voir l'explication ici : http://www.malekal.com/2011/02/10/beta-pjjoint-evaluer-ses-rapports-hijackthis-otl-et-zphdiag/

pjjoint.malekal.com évolue et propose une procédure de désinfection/nettoyage automatique.
> http://www.malekal.com/2011/12/05/pjjoint-optimisationdesinfection-en-autonome/

Un exemple d'une désinfection : http://forum.malekal.com/post193303.html#p193303

je commence

Firefox: 3.6.3
Internet Explorer : 8.0.6001.18702
Microsoft Windows XP Professionnel 5.1.2600 SP3

Antivirus, Symantec Norton

Virus détecté dans systemrestore et windows recovery console=> Trojan.Fake.AV!gen24
Virus détecté dans un dossier sur la racine Qoobox => Backdoor.Tidserv!inf

pour l'instant j'ai désactivé le service de restauration windows
fait un scan norton complet, un passage de combofix et malware's byte.

Ce que tu trouves dans qoobox c'est ce qu'a viré combofix, tu peux virer ce répertoire.

Je préfères utiliser DrWeb sur un live CD/USB (UBCD4WIN par exemple) qu'un produit comme Norton AV...

norton c'est pas mon choix ^^'

Oui mais même en c'est bien d'avoir un clé USB live réalisée avec UBCD4WIN sur laquelle tu mets un DrWeb.

Pourquoi ?

Déjà deux scans valent mieux qu'un (élimine les FP, détectent les virus non vu par l'un ou l'autre).

Et ensuite une détection en mode LiveUSB/CD permet de trouver des virus qui seraient cachés du système.

je vais regarder cette solution

Les produits d'analyse des Helper de Zebulon mis à jour : http://www.zebulon.fr/actualites/6057-nicolas-coolman-zeb-help-process-zhpfix.html

Ajout du tuto de malekal

Ajout d'un commentaire concernant les faux blogs de sécurité

Ajout de la section Analyse des logs

ajout de pjjoint.malekal.com

pjjoint.malekal.com évolue et propose une procédure de désinfection/nettoyage automatique.
> http://www.malekal.com/2011/12/05/pjjoint-optimisationdesinfection-en-autonome/

Bien ça !

clair merci !

Ajout d'infos concernant ZHPDiag, un autre analyseur type OTL/Hijakthis/DiagHelper développé à la base pour les utilisateurs du forum Zebulon.
> http://www.malekal.com/2011/12/13/zhpdiag-presentation-et-tutoriel/

Hijackthis vient de passer en OpenSource !
Espérons que cela le fera évoluer dans le bon sens !!
> http://blogmotion.fr/systeme/telecharger-hijackthis-7939