|
|
ATTENTION : VOUS SUIVEZ LES CONSEILS CI-DESSOUS A VOS PROPRES
RISQUES. NOUS NE GARANTISSONS PAS LE RESULTAT DES MANIPULATIONS DECRITES CI-DESSOUS
ET NOUS NE SOMMES EN AUCUN CAS RESPONSABLES DES PROBLEMES POUVANT SURVENIR SUITE
A CES MANIPULATIONS.
(attention,
les manipulations décrites ci-dessous comportent des risques d'endommager
le système d'exploitation : une sauvegarde
doit être effectuée au préalable et l'on doit pouvoir envisager
la réinstallation complète de l'ordinateur)
Mon PC est
infecté par un Cheval de Troie, virus ou spyware ?
Force est de constater
que les chevaux de troie et autres malwares
pullulent aujourd'hui sur Internet au point que même le plus averti peut
se retrouver infecté malgré une grande méfiance vis-à-vis
de tout élément extérieur (internet, email..), parfois
par des proches moins méfiants que soi.
Il nous semble donc utile de faire un petit exposé de ce qu'il convient
de faire en cas de détection d'un comportement anormal de son ordinateur.
Mais que fait un cheval
de troie ? son but est de voler les mots de passe et autres
codes d'accès, les carnets d'adresse et toute autre
information privée. Il peut aussi servir de relais pour une quelconque
action malveillante sur internet. Un cheval de Troie peut utiliser un DLL en
quel cas il n'est actif que par intermitence, se reproduit
souvent avec des noms aléatoires et est difficile à erradiquer.
Comment s'en prémunir,
quelles précautions dois-je prendre pour éviter l'infection ?
Existe-t-il une méthode
manuelle pour se débarrasser des intrus sans anti-virus ou anti-spam
?
Outre l'utilisation
de programmes anti-virus ou anti-spam dédiés, la méthode
manuelle de supression consiste à effectuer les opérations suivantes
:
Si l'ordinateur est
occupé par quelque tâche inhabituelle ( par exemple un soi-disant
antivirus qu'on n'a pas installé vous propose un nettoyage ou est en
train de le faire) : tenter de quitter ce processus (ne répondez à
aucune question et ne le fermez que par le gestionnaire de tâches (ATL/CTRL/DEL).
si le programme ne s'arrête pas, rebooter le système et redémarrer
en mode sans échec (F8 ou F2 au démarrage).
- Ouvrir le gestionnaire
des tâches de Windows (ALT/CTRL/DEL), aller sur l'onglet PROCESSUS,
noter le nom des processus des applicatifs non SYSTEM.
- Vérifier sur
un moteur de recherche sur Internet si ces processus sont licites (font partie
du système d'exploitation ou non). En cas de doute, leur suppression
du gestionnaire de tâche (CF. 4.) permet de voir si la machine redevient
stable, ou si son fonctionnement est perturbé, on redémarre
alors le PC et on recommence avec les processus suivants jusqu'à les
avoir tous passés).
- Débrancher Internet,
par sécurité (plus de discussion entre un éventuel malware
et son maître).
- Ouvrir le gestionnaire
des tâches de Windows (ALT/CTRL/DEL), aller sur l'onglet PROCESSUS,
supprimer les processus non SYSTEM suspectés; dans le doute, les supprimer
tous, ceux-ci n'étant pas indispensables au système.
- Si la suppression des
processus est refusée ou s'ils se relancent automatiquement, arrêter
l'ordinateur, redémarrer en mode sans échec (F8 ou F2) et rouvrir
le gestionnaire de tâches : si les processus y figurent encore, tenter
de les supprimer. si l'on n'y parvient pas, il faut alors envisager de faire
une sauvegarde puis de réinstaller Windows avec un CD-ROM de démarrage
(seule méthode sûre), soit de lancer un antivirus, sans garantie
de succès, car l'intrus tentera de l'empêcher de fontionner.
Une fois
les processus suspects supprimés du gestionnaire de tâche,
les programmes néfastes n'étant plus actifs en mémoire
on va pouvoir les supprimer de la base de registres :
- Lancer l'éditeur
de registre (DEMARRER/EXECUTER/regedit.exe), exporter la base de registre
pour disposer d'une sauvegarde en cas de problèmes futurs ou de fausse
manipulation.
- Edition/rechercher (CTRL/F)
les noms suspects notés en 1. et les supprimer. S'il s'agit de répertoires,
supprimer ceux-ci.
- Aller en particulier
à :
"HKey_Local_machine>Software>Microsoft>Windows>Current
Version>Run"
ou l'on trouve les programmes lancés au démarrage. Puis dans
"Current_user>Software>Microsoft>Windows>MUICache"
On trouve ici souvent les programmes incriminés.
(Dans notre cas, il s'agit du programme _ex-8 qui s'accompagne d'un ou
plusieurs fichiers nommés par des séries de 8 à 9 chiffres
: noter ces chiffres pour les rechercher en 7. et 11.)
- Après chaque
suppression, relancer la recherche par F3, supprimer ainsi toutes les entrées
contenant les noms des programmes suspects.
- Quitter l'éditeur.
Il faut maintenant
supprimer physiquement les intrus sur le disque dur :
- Rechercher et supprimer
ceux-ci sur le poste de travail; on les trouve en particulier dans :
"C:\Documents
& Settings\All Users\Application Data\"
et
"C:\WINNT\Temp\"
ou
"C:\WINDOWS\Temp\"
- Vider la corbeille
- Redémarrer l'ordinateur.
Tout redémarre
correctement ? vérifiez les processus : rien de suspect ? Félicitations,
vous vous êtes débarrassés de la chose... (dans
le cas contraire, dites-vous que vous avez fait le maximum et réinstallez
votre machine...)
|
|
|