ATTENTION : VOUS SUIVEZ LES CONSEILS CI-DESSOUS A VOS PROPRES RISQUES. NOUS NE GARANTISSONS PAS LE RESULTAT DES MANIPULATIONS DECRITES CI-DESSOUS ET NOUS NE SOMMES EN AUCUN CAS RESPONSABLES DES PROBLEMES POUVANT SURVENIR SUITE A CES MANIPULATIONS.

(attention, les manipulations décrites ci-dessous comportent des risques d'endommager le système d'exploitation :
une sauvegarde doit être effectuée au préalable et l'on doit pouvoir envisager la réinstallation complète de l'ordinateur)

Mon PC est infecté par un Cheval de Troie, virus ou spyware ?

Force est de constater que les chevaux de troie et autres malwares pullulent aujourd'hui sur Internet au point que même le plus averti peut se retrouver infecté malgré une grande méfiance vis-à-vis de tout élément extérieur (internet, email..), parfois par des proches moins méfiants que soi.
Il nous semble donc utile de faire un petit exposé de ce qu'il convient de faire en cas de détection d'un comportement anormal de son ordinateur.

Mais que fait un cheval de troie ? son but est de voler les mots de passe et autres codes d'accès, les carnets d'adresse et toute autre information privée. Il peut aussi servir de relais pour une quelconque action malveillante sur internet. Un cheval de Troie peut utiliser un DLL en quel cas il n'est actif que par intermitence, se reproduit souvent avec des noms aléatoires et est difficile à erradiquer.

Comment s'en prémunir, quelles précautions dois-je prendre pour éviter l'infection ?

• La première des choses à faire est de faire une sauvegarde de sa base de registre (DEMARRER/EXECUTER/regedit.exe) pour la restaurer en cas de fontionnement anormal de sa machine, avant de redémarrer : on peut ensuite supprimer les intus sans que ceux-ci soient chargés en mémoire et ne nous en enpêchent.
• La seconde chose est de disposer d'un antivirus (nous conseillons AVIRA Antivir qui est gratuit pour les particuliers).

  Quelques règles simples évitent ensuite la plupart des intrusions :

• Les emails malveillants se font souvent passer pour des proches ou des organismes connus (banques, grands sites internet) : ne jamais ouvrir les liens contenus dans les emails, ni les pièces jointes. si l'on a un doute, retaper manuellement l'adresse indiquée dans son navigateur pour vérifier. demander par email ou téléphone à l'organisme soi-disant émetteur s'il est bien à l'origine de l'email avant de procéder aux demandes.
• Même s'il semble provenir d'un organisme connu, tout email, page internet ou fenêtre qui s'ouvre réclamant un mot de passe, demande de se connecter, de confirmer un virement, vous annonce que vous avez gagné un concours ou une somme d'argent, de lancer un outil de vérification ou vous annonce que vous êtes infectés doit être considéré comme malveillant et supprimé immédiatement.
• Les pièces jointes sont particulièrement à éviter même provenant de personnes proches : beaucoup de personnes innocentes se font le relais de programmes malveillants cachés dans des documents amusants et semblant innofensifs.
• Ne jamais télécharger ni exécuter de programmes exécutables : (contenant l'extension .exe, .com, .bat) dont on n'est pas absolument sûr de l'intégrité.
• Lorsqu'une fenêtre intempestive s'ouvre, ne la fermez jamais en cliquant sur un bouton dans la page, mais en sélectionnant celle-ci dans la barre de tâche avec le bouton droit de la souris et en sélectionnant l'option "fermer", ou en supprimant le processus dans le gestionnaire de tâches.

Existe-t-il une méthode manuelle pour se débarrasser des intrus sans anti-virus ou anti-spam ?

Outre l'utilisation de programmes anti-virus ou anti-spam dédiés, la méthode manuelle de supression consiste à effectuer les opérations suivantes :

Si l'ordinateur est occupé par quelque tâche inhabituelle ( par exemple un soi-disant antivirus qu'on n'a pas installé vous propose un nettoyage ou est en train de le faire) : tenter de quitter ce processus (ne répondez à aucune question et ne le fermez que par le gestionnaire de tâches (ATL/CTRL/DEL). si le programme ne s'arrête pas, rebooter le système et redémarrer en mode sans échec (F8 ou F2 au démarrage).

1. Ouvrir le gestionnaire des tâches de Windows (ALT/CTRL/DEL), aller sur l'onglet PROCESSUS, noter le nom des processus des applicatifs non SYSTEM.
2. Vérifier sur un moteur de recherche sur Internet si ces processus sont licites (font partie du système d'exploitation ou non). En cas de doute, leur suppression du gestionnaire de tâche (CF. 4.) permet de voir si la machine redevient stable, ou si son fonctionnement est perturbé, on redémarre alors le PC et on recommence avec les processus suivants jusqu'à les avoir tous passés).
3. Débrancher Internet, par sécurité (plus de discussion entre un éventuel malware et son maître).
4. Ouvrir le gestionnaire des tâches de Windows (ALT/CTRL/DEL), aller sur l'onglet PROCESSUS, supprimer les processus non SYSTEM suspectés; dans le doute, les supprimer tous, ceux-ci n'étant pas indispensables au système.
5. Si la suppression des processus est refusée ou s'ils se relancent automatiquement, arrêter l'ordinateur, redémarrer en mode sans échec (F8 ou F2) et rouvrir le gestionnaire de tâches : si les processus y figurent encore, tenter de les supprimer. si l'on n'y parvient pas, il faut alors envisager de faire une sauvegarde puis de réinstaller Windows avec un CD-ROM de démarrage (seule méthode sûre), soit de lancer un antivirus, sans garantie de succès, car l'intrus tentera de l'empêcher de fontionner.

   Une fois les processus suspects supprimés du gestionnaire de tâche, les programmes néfastes n'étant plus actifs en mémoire on va pouvoir les supprimer de la base de registres :

6. Lancer l'éditeur de registre (DEMARRER/EXECUTER/regedit.exe), exporter la base de registre pour disposer d'une sauvegarde en cas de problèmes futurs ou de fausse manipulation.
7. Edition/rechercher (CTRL/F) les noms suspects notés en 1. et les supprimer. S'il s'agit de répertoires, supprimer ceux-ci.
8. Aller en particulier à :

"HKey_Local_machine>Software>Microsoft>Windows>Current Version>Run"
ou l'on trouve les programmes lancés au démarrage. Puis dans
"Current_user>Software>Microsoft>Windows>MUICache"
On trouve ici souvent les programmes incriminés.
(Dans notre cas, il s'agit du programme _ex-8 qui s'accompagne d'un ou plusieurs fichiers nommés par des séries de 8 à 9 chiffres : noter ces chiffres pour les rechercher en 7. et 11.)

9. Après chaque suppression, relancer la recherche par F3, supprimer ainsi toutes les entrées contenant les noms des programmes suspects.
10. Quitter l'éditeur.

    Il faut maintenant supprimer physiquement les intrus sur le disque dur :

11. Rechercher et supprimer ceux-ci sur le poste de travail; on les trouve en particulier dans :

    "C:\Documents & Settings\All Users\Application Data\"
    et
    "C:\WINNT\Temp\"
    ou
    "C:\WINDOWS\Temp\"

12. Vider la corbeille
13. Redémarrer l'ordinateur.

Tout redémarre correctement ? vérifiez les processus : rien de suspect ? Félicitations, vous vous êtes débarrassés de la chose... (dans le cas contraire, dites-vous que vous avez fait le maximum et réinstallez votre machine...)