Comment puis-je supprimer les logiciels espions, les logiciels malveillants, les logiciels publicitaires, les virus, les chevaux de Troie ou les rootkits malveillants de mon PC?

447

Que dois-je faire si mon ordinateur Windows semble être infecté par un virus ou un logiciel malveillant?

  • Quels sont les symptômes d'une infection?
  • Que dois-je faire après avoir remarqué une infection?
  • Que puis-je faire pour m'en débarrasser?
  • comment prévenir de l'infection par des logiciels malveillants?

Cette question revient souvent et les solutions suggérées sont généralement les mêmes. Ce wiki de communauté est une tentative de servir de réponse définitive et la plus complète possible.

N'hésitez pas à ajouter vos contributions via des modifications.

Gnoupi
la source
72
Une chose à ne absolument PAS faire est d'installer l'un des outils «anti-malware» auxquels vous êtes instamment priés lorsque vous accédez à une page Web indiquant «Votre ordinateur est infecté par un virus! Ce sont presque certainement des logiciels malveillants eux-mêmes. Vous ne devez utiliser que des outils bien contrôlés - (vraisemblablement) ceux nommés ci-dessous ou sur un autre site de confiance.
Daniel R Hicks
@Gnoupi Cet article peut être d'intérêt maketecheasier.com/…
Simon
24
Pour quiconque vient à cette question et veut la version tl; dr ... Une fois infecté, il n’ya aucun moyen (enfin ... aucun moyen qui ne vous implique pas déjà d’être un ingénieur en informatique et d’investir quelques années de votre vie effectuer une autopsie numérique sur la machine) pour se débarrasser de l’infection. Les logiciels malveillants peuvent se cacher dans vos fichiers, vos programmes d’application, vos systèmes d’exploitation, vos microprogrammes, etc. C'est pourquoi vous ne devriez jamais faire confiance à un ordinateur infecté. Les fournisseurs de matériel audiovisuel vont essayer de vous convaincre que leur produit est la solution miracle qui réparera votre système. Ils mentent.
Parthian Shot
@DanielRHicks en fait, dans certains cas, ils conduisent à un produit audiovisuel légitime. La dernière fois que j'ai vu cela sur Android avec son "fonctionnalité de support publicitaire intégrée" agaçante (les barres de publicité apparaissent au bas des applications et des pages Web). Par exemple, je viens de tapoter un "supprimer le virus!" ad et j'ai atterri dans le Google Play Store sur la page des applications 360 Security - Antivirus Boost .
David Balažic
Lorsque nous considérons la possibilité d'utilisation des rootkits virtuels et des rootkits de micrologiciels, nous pouvons dire à peu près: vous êtes désossé. Ces deux types de rootkits sont enregistrés dans des zones de votre ordinateur que vous ne pouvez pas nettoyer. Si vous voulez vous en débarrasser, vous devez acheter un nouvel ordinateur. Les rootkits micrologiciels sont rares et les rootkits virtuels n'existent pas encore, mais néanmoins: L'existence de ces deux rootkits prouve qu'il n'existe pas de solution unique fonctionnant à 100% qui maintiendrait votre logiciel malveillant gratuit pour toute l'éternité et au-delà. En tant qu'Allemand, je le confierais à un "Eierlegende Wollmilchsau"
BlueWizard

Réponses:

273

Voici le problème: les logiciels malveillants de ces dernières années sont devenus à la fois plus sournois et plus sournois :

Sneakier , non seulement parce qu'il est préférable de se cacher avec des rootkits ou des piratages EEPROM, mais aussi parce qu'il voyage par paquets. Des programmes malveillants subtils peuvent se cacher derrière des infections plus évidentes. Vous trouverez ici beaucoup de bons outils énumérés dans les réponses permettant de détecter 99% des logiciels malveillants, mais il y en a toujours 1% qu'ils ne peuvent pas encore trouver. Généralement, ce 1% est une nouveauté : les logiciels malveillants ne le trouvent pas car il vient tout juste de sortir et utilise un nouvel exploit ou une nouvelle technique pour se cacher que les outils ne connaissent pas encore.

Les logiciels malveillants ont également une courte durée de vie. Si vous êtes infecté, il est très probable que quelque chose de ce nouveau 1% fasse partie de votre infection. Ce ne sera pas l' infection entière : juste une partie. Les outils de sécurité vous aideront à trouver et à supprimer les logiciels malveillants les plus évidents et les plus connus, et à supprimer tous les symptômes visibles (car vous pouvez continuer à creuser jusqu'à ce que vous en arriviez là), mais ils peuvent laisser de petits morceaux, comme un enregistreur de frappe. ou un rootkit se cachant derrière un nouvel exploit que l'outil de sécurité ne sait pas encore vérifier. Les outils anti-malware ont toujours leur place, mais j'y reviendrai plus tard.

Nastier , en ce sens qu'il ne se contente plus de diffuser des annonces, d'installer une barre d'outils ou d'utiliser votre ordinateur comme un zombie. Les logiciels malveillants modernes vont probablement bien pour les informations bancaires ou de carte de crédit. Les personnes qui construisent ce genre de choses ne sont plus simplement des script kiddies à la recherche de la gloire; ce sont maintenant des professionnels organisés motivés par le profit , et s’ils ne peuvent pas vous voler directement, ils vont chercher quelque chose qu’ils peuvent vendre et vendre. Il peut s’agir d’un traitement ou de ressources réseau sur votre ordinateur, mais il peut également s'agir de votre numéro de sécurité sociale ou du cryptage de vos fichiers et de leur stockage contre rançon.

Mettez ces deux facteurs ensemble, et il n’est plus utile d’essayer même de supprimer les logiciels malveillants d’un système d’exploitation installé . J'avais l'habitude d'être très doué pour enlever ce genre de choses, au point de gagner ma vie de cette façon et je ne fais même plus cette tentative. Je ne dis pas que cela ne peut pas être fait, mais je dis que les résultats de l'analyse coûts / avantages et des risques ont changé: cela n'en vaut plus la peine. Il y a trop en jeu et il est trop facile d'obtenir des résultats qui semblent seulement être efficaces.

Beaucoup de gens vont être en désaccord avec moi à ce sujet, mais je mets au défi de ne pas trop peser les conséquences d'un échec. Êtes-vous prêt à parier vos économies, votre bon crédit, voire votre identité, sur le fait que vous êtes meilleur en la matière que des escrocs qui gagnent des millions chaque jour? Si vous essayez de supprimer les logiciels malveillants et continuez ensuite à utiliser l'ancien système, c'est exactement ce que vous faites.

Je sais qu'il y a des gens qui lisent ceci en pensant: "Hé, j'ai enlevé plusieurs infections de différentes machines et rien de grave ne s'est passé." Moi aussi mon ami. Moi aussi. Dans les jours passés, j'ai nettoyé ma part de systèmes infectés. Néanmoins, je suggère que nous devions maintenant ajouter "encore" à la fin de cette déclaration. Vous pouvez être efficace à 99%, mais vous ne devez vous tromper qu'une seule fois et les conséquences d'un échec sont bien plus lourdes que par le passé. le coût d'un seul échec peut facilement compenser tous les autres succès. Vous avez peut-être même une machine déjà en place qui contient encore une bombe à retardement à l'intérieur, qui n'attend que d'être activée ou de collecter les bonnes informations avant de la signaler. Même si votre processus est à présent efficace à 100%, cela change tout le temps. Rappelez-vous: vous devez être parfait à chaque fois;

En résumé, c'est malheureux, mais si vous avez une infection par un logiciel malveillant confirmée, une réouverture complète de l'ordinateur devrait être le premier endroit où vous vous tournerez au lieu du dernier.


Voici comment accomplir cela:

Avant d'être infecté , assurez-vous de pouvoir réinstaller tout logiciel acheté, système d'exploitation compris, qui ne dépende d'aucun élément stocké sur votre disque dur interne. À cette fin, cela signifie généralement que vous devez simplement vous accrocher à des CD / DVD ou à des clés de produit, mais le système d’exploitation peut vous demander de créer vous-même des disques de récupération. 1 Ne comptez pas sur une partition de récupération. Si vous attendez après une infection pour vous assurer que vous avez ce qu'il vous faut réinstaller, vous risquez de vous retrouver à payer pour le même logiciel. Avec la montée en puissance des ransomwares, il est également extrêmement important de procéder à des sauvegardes régulières de vos données (en plus des choses régulières non malveillantes, telles que les pannes de disque dur).

Si vous pensez que vous avez des logiciels malveillants , recherchez d’autres réponses ici. Il y a beaucoup de bons outils suggérés. Mon seul problème est la meilleure façon de les utiliser: je ne les utilise que pour la détection. Installez et exécutez l'outil, mais dès qu'il trouve la preuve d'une infection réelle (plus que "le suivi des cookies"), arrêtez simplement l'analyse: l'outil a fait son travail et a confirmé votre infection. 2

Au moment d’une infection confirmée, suivez les étapes suivantes:

  1. Vérifiez votre crédit et vos comptes bancaires. Au moment où vous en saurez plus sur l’infection, de réels dégâts auront peut-être déjà été causés. Prenez toutes les mesures nécessaires pour sécuriser vos cartes, votre compte bancaire et votre identité.
  2. Changez les mots de passe sur n'importe quel site Web auquel vous avez accédé depuis l'ordinateur compromis. N'utilisez pas l'ordinateur compromis pour faire tout cela.
  3. Effectuez une sauvegarde de vos données (encore mieux si vous en avez déjà une).
  4. Réinstallez le système d'exploitation à l'aide du support d'origine obtenu directement auprès de l'éditeur du système d'exploitation. Assurez-vous que la réinstallation inclut un reformatage complet de votre disque. une opération de restauration ou de récupération du système ne suffit pas.
  5. Réinstallez vos applications.
  6. Assurez-vous que votre système d'exploitation et vos logiciels sont entièrement corrigés et à jour.
  7. Exécutez une analyse antivirus complète pour nettoyer la sauvegarde à partir de l'étape deux.
  8. Restaurez la sauvegarde.

Si cela est fait correctement, cela prendra probablement entre deux et six heures réelles de votre temps, réparties sur deux à trois jours (ou même davantage) en attendant l'installation d'éléments, l'installation de mises à jour Windows à télécharger ou la sauvegarde de fichiers volumineux. transférer ... mais il vaut mieux que de savoir plus tard que des escrocs ont vidé votre compte en banque. Malheureusement, c’est quelque chose que vous devriez faire vous-même ou faire confier à un ami technophile. À un tarif de consultation typique d’environ 100 USD / heure, il peut être moins coûteux d’acheter une nouvelle machine que de payer un magasin pour le faire. Si vous avez un ami qui le fait pour vous, faites quelque chose de bien pour montrer votre appréciation. Même les geeks qui aiment vous aider à configurer de nouvelles choses ou à réparer du matériel cassé détestent souventl'ennui des travaux de nettoyage. C’est également mieux si vous faites votre propre sauvegarde… vos amis ne sauront pas où vous mettez quels fichiers, ni quels fichiers sont vraiment importants pour vous. Vous êtes en meilleure position pour faire une bonne sauvegarde qu’ils ne le sont.

Bientôt, même tout cela ne sera peut-être plus suffisant, car il existe désormais des logiciels malveillants capables d'infecter les microprogrammes. Même remplacer le disque dur ne supprimera peut-être pas l’infection, et l’achat d’un nouvel ordinateur sera la seule option. Heureusement, au moment où j'écris ceci, nous n'en sommes pas encore à ce point, mais il est clairement à l'horizon et approche à grands pas.


Si vous insistez absolument, au-delà de toute raison, sur le fait que vous voulez vraiment nettoyer votre installation existante plutôt que de recommencer, alors pour l'amour de Dieu, assurez-vous que la méthode que vous utilisez implique l'une des deux procédures suivantes:

  • Retirez le disque dur et connectez-le en tant que disque invité à un autre ordinateur (propre!) Pour lancer l'analyse.

OU

  • Démarrez à partir d'un CD / clé USB avec son propre ensemble d'outils exécutant son propre noyau. Assurez-vous que l'image obtenue est obtenue et gravée sur un ordinateur propre. Si nécessaire, demandez à un ami de créer le disque pour vous.

N'essayez en aucun cas de nettoyer un système d'exploitation infecté à l'aide d'un logiciel fonctionnant en tant qu'invité du système d'exploitation compromis. C'est tout simplement stupide.


Bien sûr, le meilleur moyen de réparer une infection est de l’éviter, et vous pouvez faire certaines choses pour vous aider:

  1. Gardez votre système patché. Assurez-vous d' installer rapidement les mises à jour Windows, Adobe, Java et Apple, etc. Ceci est bien plus important que les logiciels anti-virus et, dans la plupart des cas, ce n'est pas si difficile, tant que vous restez à jour. La plupart de ces sociétés ont décidé de manière informelle de publier de nouveaux correctifs tous les mois, le même jour. Par conséquent, si vous restez à jour, cela ne vous interrompra pas si souvent. Les interruptions de Windows Update ne surviennent généralement que lorsque vous les ignorez trop longtemps. Si cela vous arrive souvent, c'est à vous de changer de comportement. Celles-ci sont importantes et il n’est pas normal de choisir en permanence l’option «installer plus tard», même si c’est plus facile en ce moment.
  2. Ne pas exécuter en tant qu'administrateur par défaut. Dans les versions récentes de Windows, il suffit simplement de laisser la fonctionnalité UAC activée.
  3. Utilisez un bon outil de pare-feu. De nos jours, le pare-feu par défaut de Windows est suffisant. Vous voudrez peut-être compléter cette couche avec quelque chose comme WinPatrol qui aide à arrêter les activités malveillantes sur le front-end. Windows Defender fonctionne également dans cette capacité dans une certaine mesure. Les plug-ins de navigateur de base Ad-Blocker deviennent également de plus en plus utiles à ce niveau en tant qu'outil de sécurité.
  4. Définissez la plupart des plug-ins de navigateur (en particulier Flash et Java) sur "Demander l'activation".
  5. Exécutez le logiciel anti-virus actuel . Il s’agit d’un cinquième lointain par rapport aux autres options, car les logiciels audiovisuels traditionnels ne sont souvent plus aussi efficaces. Il est également important de souligner le "courant". Vous pourriez avoir le meilleur logiciel antivirus au monde, mais s'il n'est pas à jour, vous pouvez également le désinstaller.

    Pour cette raison, je recommande actuellement Microsoft Security Essentials. (Depuis Windows 8, Microsoft Security Essentials fait partie de Windows Defender.) Il existe probablement de bien meilleurs moteurs d’analyse, mais Security Essentials se tiendra à jour, sans risquer un enregistrement expiré. AVG et Avast fonctionnent également de cette manière. Je ne peux tout simplement pas vous recommander un logiciel anti-virus pour lequel vous devez payer, car il est bien trop courant qu'un abonnement payant devienne caduc et que vous vous retrouviez avec des définitions obsolètes.

    Il convient également de noter ici que les utilisateurs de Mac doivent maintenant exécuter un logiciel antivirus. Les jours où ils pourraient s'en sortir sans cela sont révolus. En passant, je pense que c'est hilarant. Je dois maintenant recommander aux utilisateurs de Mac d'acheter un logiciel anti-virus, mais de déconseiller aux utilisateurs de Windows.

  6. Évitez les sites de torrent, warez, les logiciels piratés et les films / vidéos piratés. La personne qui l'a craqué ou posté l'a souvent injecté un logiciel malveillant - pas toujours, mais assez souvent pour éviter tout le gâchis. C'est en partie pourquoi un pirate informatique ferait cela: souvent, il obtiendra une réduction de ses profits.
  7. Utilisez votre tête lorsque vous naviguez sur le Web. Vous êtes le maillon faible de la chaîne de sécurité. Si quelque chose semble trop beau pour être vrai, c'est probablement le cas. Le bouton de téléchargement le plus évident est rarement celui que vous souhaitez utiliser lors du téléchargement d'un nouveau logiciel. Veillez donc à lire et à comprendre tout ce qui se trouve sur la page Web avant de cliquer sur ce lien. Si vous voyez une fenêtre contextuelle ou entendez un message sonore vous invitant à appeler Microsoft ou à installer un outil de sécurité, il s'agit d'un faux.
    Aussi, préférez télécharger le logiciel et les mises à jour / mises à niveau directement à partir du fournisseur ou du développeur plutôt que des sites Web tiers d'hébergement de fichiers.

1 Microsoft publie maintenant le support d'installation de Windows 10 afin que vous puissiez télécharger et écrire en toute légalité gratuitement sur un lecteur flash de 8 Go ou plus. Vous avez toujours besoin d'une licence valide, mais vous n'avez plus besoin d'un disque de récupération séparé pour le système d'exploitation de base.

2 C'est un bon moment pour souligner que j'ai quelque peu adouci mon approche. Aujourd'hui, la plupart des "infections" entrent dans la catégorie des PUP (programmes potentiellement indésirables) et des extensions de navigateur incluses dans d'autres téléchargements. Souvent, ces PUP / extensions peuvent être supprimés en toute sécurité par des moyens traditionnels. Ils représentent désormais un pourcentage suffisant de programmes malveillants pour que je puisse m'arrêter à ce stade et essayer simplement la fonctionnalité Ajout / Suppression de programmes ou l'option de navigateur normal pour supprimer une extension. Cependant, dès le premier signe d'un signe plus profond, tout indice que le logiciel ne se désinstallera pas normalement, et qu'il est de nouveau nécessaire de repaver la machine.

Joel Coehoorn
la source
5
Cela semble être le plus sage, de nos jours, en effet. J'ajouterais qu'il existe une autre raison pour laquelle certains logiciels malveillants sont sournois: ils resteront en veille et utiliseront votre ordinateur pour d'autres activités. Pourrait être un proxy, stocker des choses plus ou moins illégales, ou faire partie d'une attaque DDOS.
Gnoupi
2
@ConradFrix Trop tôt pour le dire ... Je n'ai pas encore eu besoin de le faire sur un PC Windows 8 ... mais je suis pessimiste, car cela n'entraîne pas un reformatage du lecteur. Windows 8 inclut plusieurs améliorations de la sécurité, notamment l’exécution d’un logiciel antivirus à partir de l’heure 0 dans le système d’exploitation, de sorte que j’espère pouvoir ne jamais avoir à le faire pour Windows 8.
Joel Coehoorn
5
@DanielRHicks a lu la phrase complète. C'est deux à six heures de votre temps, réparties sur un jour ou trois où vous êtes efficace pour donner un coup de pied et vérifier de nouveau plus tard. Si vous gardez tout le monde assis, alors oui: ça va prendre du temps.
Joel Coehoorn
2
@JoelCoehoorn Est-ce juste moi, ou un malware de cette avancée pourrait également infecter les micrologiciels sur toutes sortes de composants rendant inutile tout effort de suppression?
Enis P. Aginić
3
N'oubliez pas que si vous effectuez une sauvegarde APRES la découverte de l'infection, il est fort probable que la sauvegarde elle-même soit infectée. Veuillez analyser la sauvegarde avant de tenter une restauration.
Tejas Kale
201

Comment savoir si mon PC est infecté?

Les symptômes généraux des logiciels malveillants peuvent être n'importe quoi. Les habituels sont:

  • La machine est plus lente que la normale.
  • Échecs aléatoires et événements se produisant lorsqu'ils ne le devraient pas (par exemple, certains nouveaux virus imposent des restrictions de stratégie de groupe sur votre ordinateur afin d'empêcher l'exécution du gestionnaire de tâches ou d'autres programmes de diagnostic).
  • Le gestionnaire de tâches affiche un processeur élevé lorsque vous pensez que votre ordinateur doit être inactif (par exemple, <5%).
  • Les annonces surgissent au hasard.
  • Avertissement de virus apparaissant à partir d'un antivirus que vous ne vous souvenez pas d'avoir installé (le programme antivirus est un faux et tente de prétendre que vous avez un virus qui sonne de manière effrayante, avec des noms tels que 'bankpasswordstealer.vir'. Vous êtes encouragé à payer ce programme pour les nettoyer. )
  • Popups / faux écran bleu de la mort (BSOD) vous demandant d'appeler un numéro pour corriger l'infection.
  • Les pages Internet redirigées ou bloquées, telles que les pages d'accueil de produits audiovisuels ou de sites de support (www.symantec.com, www.avg.com, www.microsoft.com) sont redirigées vers des sites remplis de publicités ou des sites contrefaits virus / "utile" outils de suppression, ou sont tout à fait bloqués.
  • Augmentation du temps de démarrage, lorsque vous n'avez pas installé d'applications (ou correctifs) ... Celui-ci est maladroit.
  • Vos fichiers personnels sont cryptés et vous voyez une note de rançon.
  • Si vous connaissez votre système, vous savez généralement que quelque chose ne va pas.

Comment puis-je m'en débarrasser?

Utiliser un Live CD

Le scanner de virus du PC infecté pouvant être compromis, il est probablement plus sûr d'analyser le lecteur à partir d'un Live CD. Le CD lancera un système d'exploitation spécialisé sur votre ordinateur, qui analysera ensuite le disque dur.

Il existe, par exemple, Avira Antivir Rescue System ou ubcd4win . D'autres suggestions sont disponibles sur la liste de téléchargement de CD d'amorçage Bootable AntiVirus GRATUITS, telles que:

  • Kaspersky Rescue CD
  • CD de secours BitDefender
  • CD de secours F-Secure
  • Avira Antivir Rescue Disk
  • Trinity Rescue Kit CD
  • AVG Rescue CD

Connexion du disque dur à un autre PC

Si vous connectez le disque dur infecté à un système propre afin de l’analyser, veillez à mettre à jour les définitions de virus de tous les produits que vous utiliserez pour analyser le lecteur infecté. Attendre une semaine pour permettre aux fournisseurs d’antivirus de publier de nouvelles définitions de virus peut améliorer vos chances de détecter tous les virus.

Assurez-vous que votre système infecté reste déconnecté d'Internet dès que vous constatez qu'il est infecté. Cela l'empêchera de télécharger de nouvelles éditions de virus (entre autres).

Commencez avec un bon outil tel que Spybot Search and Destroy ou Malwarebytes 'Anti-Malware et effectuez une analyse complète. Essayez également ComboFix et SuperAntiSpyware . Aucun produit antivirus ne contiendra toutes les définitions de virus. L'utilisation de plusieurs produits est essentielle ( pas pour la protection en temps réel ). S'il ne reste qu'un seul virus sur le système, il pourra peut-être télécharger et installer les dernières éditions de nouveaux virus. Tous les efforts déployés jusqu'à présent n'auraient servi à rien.

Supprimer les programmes suspects du démarrage

  1. Démarrez en mode sans échec.
  2. Permet msconfigde déterminer quels programmes et services démarrent au démarrage (ou au démarrage sous le gestionnaire de tâches de Windows 8).
  3. Si des programmes / services sont suspects, supprimez-les du démarrage. Sinon passez à utiliser un CD live.
  4. Redémarrer.
  5. Si les symptômes ne disparaissent pas et / ou que le programme se remplace tout seul au démarrage, essayez d’utiliser un programme appelé Autoruns pour rechercher le programme, puis supprimez-le. Si votre ordinateur ne parvient pas à démarrer, Autoruns dispose d'une fonction lui permettant d'être exécuté à partir d'un second PC appelé "Analyser PC hors ligne". Portez une attention particulière aux onglets Logonet Scheduled tasks.
  6. Si vous ne parvenez toujours pas à supprimer le programme et que vous êtes certain que c'est la cause de vos problèmes, démarrez en mode normal et installez un outil appelé Unlocker.
  7. Accédez à l'emplacement du fichier contenant ce virus et essayez d'utiliser le programme de déverrouillage pour le tuer. Quelques choses peuvent arriver:
    1. Le fichier est supprimé et ne réapparaît pas au redémarrage. C'est le meilleur des cas.
    2. Le fichier est supprimé mais réapparaît immédiatement. Dans ce cas, utilisez un programme appelé Process Monitor pour rechercher le programme qui a recréé le fichier. Vous devrez également supprimer ce programme.
    3. Le fichier ne peut pas être supprimé, le logiciel de déverrouillage vous invitera à le supprimer au redémarrage. Faites-le et voyez s'il réapparaît. Si c'est le cas, vous devez avoir un programme au démarrage qui provoque cela et réexaminer la liste des programmes qui s'exécutent au démarrage.

Que faire après la restauration

Maintenant, il devrait être sûr (avec optimisme) de démarrer sur votre système (précédemment) infecté. Gardez toujours les yeux ouverts pour détecter les signes d'infection. Un virus peut laisser sur un ordinateur des modifications qui faciliteraient la réinfection, même après la suppression du virus.

Par exemple, si un virus modifie les paramètres DNS ou proxy, votre ordinateur vous redirigera vers de fausses versions de sites Web légitimes, de sorte que le téléchargement de ce qui semble être un programme connu et de confiance pourrait bien être un téléchargement de virus.

Ils pourraient également obtenir vos mots de passe en vous redirigeant vers de faux sites de comptes bancaires ou de faux sites de courrier électronique. Assurez-vous de vérifier vos paramètres DNS et proxy. Dans la plupart des cas, votre DNS doit être fourni par votre FAI ou acquis automatiquement par DHCP. Vos paramètres de proxy doivent être désactivés.

Vérifiez dans votre hostsfichier ( \%systemroot%\system32\drivers\etc\hosts) les entrées suspectes et supprimez-les immédiatement. Assurez-vous également que votre pare-feu est activé et que vous disposez de toutes les dernières mises à jour de Windows.

Ensuite, protégez votre système avec un bon antivirus et complétez-le avec un produit anti-malware. Microsoft Security Essentials est souvent recommandé avec d'autres produits .

Que faire si tout échoue

Il convient de noter que certains logiciels malveillants sont très efficaces pour éviter les scanners. Il est possible qu'une fois infecté, il puisse installer des rootkits ou similaires pour rester invisible. Si les choses vont vraiment mal, la seule option est d’effacer le disque et de réinstaller le système d’exploitation. Parfois, une analyse utilisant GMER ou TDSS Killer de Kaspersky peut vous indiquer si vous avez un rootkit.

Vous voudrez peut-être faire quelques essais de Spybot Search and Destroy. Si après trois exécutions, il est impossible de supprimer une infestation (et vous ne le faites pas manuellement), envisagez une réinstallation.

Autre suggestion: Combofix est un outil de suppression très puissant lorsque les rootkits empêchent d'autres tâches de s'exécuter ou de s'installer.

L'utilisation de plusieurs moteurs d'analyse peut certainement aider à identifier les malwares les mieux cachés, mais cette tâche est fastidieuse et une bonne stratégie de sauvegarde / restauration sera plus efficace et sécurisée.


Bonus: Il y a une série de vidéos intéressantes commençant par " Comprendre et combattre les logiciels malveillants: Virus, Logiciels espions" avec Mark Russinovich, le créateur de Sysinternals ProcessExplorer & Autoruns, sur le nettoyage des logiciels malveillants.

William Hilsum
la source
74
Nettoyer le lecteur est souvent la voie la plus rapide et la plus sûre, comme le suggère la meilleure réponse sur ce site
Ivo Flipse
1
D'après mon expérience, je ne ferais pas confiance à spybot comme premier choix. Avira, l'outil de suppression de virus Kaspersky et AVG sont un bon choix selon AV-comparative av-comparatives.org & AV-Test.org: blogs.pcmag.com/securitywatch/2009/12/…
fluxtendu
18
Une suggestion est que beaucoup de ces programmes malveillants font voler des mots de passe et des données bancaires, il est donc pas une mauvaise idée de se déconnecter de l'Internet une fois que vous devenez suspect d'une infection. Il se peut très bien qu'il soit trop tard, mais il est possible que vous limitiez les fuites de données ou que vous empêchiez le malware de se mettre à jour, jusqu'à ce que votre nettoyage soit réussi.
Emgee
4
@emgee Bonne règle générale sur l'exfiltration de données: en cas de doute, retirez-le (la prise Ethernet)
Nate Koppenhaver
6
Combofix.org n'est pas l'emplacement de téléchargement officiel de Combofix et n'est pas autorisé ou recommandé par l'auteur de Combofix. Le téléchargement officiel est ici .
Andrew Lambert
87

«Comment nettoyer une infestation de logiciels espions Windows» de Jeff Atwood contient quelques conseils utiles . Voici le processus de base (assurez-vous de lire le post du blog pour des captures d'écran et d'autres détails sur lesquels ce résumé est traité):

  1. Arrêtez les logiciels espions en cours d'exécution. Le gestionnaire de tâches intégré de Windows ne le coupe pas; Procurez- vous Sysinternals Process Explorer .
    1. Exécutez Process Explorer.
    2. Triez la liste des processus par nom de société.
    3. Éliminez tous les processus qui n'ont pas de nom de société (à l'exception des DPC, des interruptions, du système et du processus inactif du système), ou qui ont des noms de société que vous ne reconnaissez pas.
  2. Empêchez les logiciels espions de redémarrer au prochain démarrage du système. Encore une fois, l'outil intégré de Windows, MSconfig, est une solution partielle, mais Sysinternals AutoRuns est l'outil à utiliser.
    1. Exécutez AutoRuns.
    2. Parcourez toute la liste. Décochez les entrées suspectes - celles dont le nom de l'éditeur est vide ou qui ne sont pas reconnues.
  3. Maintenant, redémarrez.
  4. Après le redémarrage, revérifiez avec Process Explorer et AutoRuns. Si quelque chose "revient", vous devrez creuser plus profondément.
    • Dans l'exemple de Jeff, une entrée de pilote suspecte dans AutoRuns est revenue. Il parle en recherchant le processus qui l'a chargé dans Process Explorer, en fermant la poignée et en supprimant physiquement le pilote non autorisé.
    • Il a également trouvé un fichier DLL au nom bizarre accroché au processus Winlogon et a démontré qu'il avait trouvé les processus de threads chargés de cette DLL afin qu'ils puissent être supprimés, de sorte que AutoRuns puisse enfin supprimer les entrées.
quixote
la source
3
Trend Micro HijackThis est également un utilitaire gratuit qui génère un rapport détaillé des paramètres du registre et des fichiers à partir de votre ordinateur. Je vous préviens que cela trouve des avantages et des inconvénients et ne fait aucune distinction, mais Google est notre ami si nous sommes méfiants.
Umber Ferrule
2
Le lien Sysinternals Process Explorer est mort. Ces réponses figurent sur certaines des principales conclusions de Google. Quelqu'un peut-il mettre à jour cela avec un lien mis à jour? Je le cherche aussi.
Malavos
Autoruns est fantastique, mais la suggestion de s'appuyer sur l'éditeur peut ne pas être utile. Cette question de stackoverflow montre comment les informations de version peuvent être facilement modifiées (et donc falsifiées) [ stackoverflow.com/questions/284258/… . J'ai essayé ceci sur une DLL Java et Autoruns a montré l'éditeur incorrectement.
AlainD
le lien autorun de votre système est rompu
Daniel
50

Ma façon de supprimer les logiciels malveillants est efficace et je ne l'ai jamais vu échouer:

  1. Téléchargez Autoruns et si vous exécutez toujours le téléchargement en 32 bits d'un scanner de rootkit.
  2. Démarrez en mode sans échec et démarrez Autoruns si vous le pouvez, puis passez à l’étape 5.
  3. Si vous ne pouvez pas entrer en mode sans échec, connectez le disque à un autre ordinateur.
  4. Démarrez Autoruns sur cet ordinateur, allez dans Fichier -> Analyser le système hors ligne et remplissez-le.
  5. Attendez que l'analyse soit terminée.
  6. Dans le menu Options, sélectionnez tout.
  7. Laissez-le balayer à nouveau en appuyant sur F5. Cela ira vite que les choses sont mises en cache.
  8. Parcourez la liste et décochez toutes les mentions suspectes ou ne disposant pas d'une société vérifiée.
  9. Facultatif: Exécutez le scanner de rootkit.
  10. Laissez un analyseur de virus supérieur supprimer tous les fichiers laissés.
  11. Facultatif: Exécutez des scanneurs anti-malware et anti-spyware pour éliminer les fichiers indésirables.
  12. Facultatif: exécutez des outils tels que HijackThis / OTL / ComboFix pour éliminer les fichiers indésirables.
  13. Redémarrez et profitez de votre système propre.
  14. Facultatif: Exécutez à nouveau l'analyseur de rootkit.
  15. Assurez-vous que votre ordinateur est suffisamment protégé!

Quelques remarques:

  • Autoruns est écrit par Microsoft et indique donc l'emplacement de tout ce qui démarre automatiquement ...
  • Une fois que le logiciel n'est pas coché dans Autoruns, il ne démarre pas et ne peut pas vous empêcher de le supprimer ...
  • Il n’existe pas de rootkits pour les systèmes d’exploitation 64 bits, car ils doivent être signés ...

Il est efficace car il empêchera les logiciels malveillants, les logiciels espions et les virus de démarrer,
vous êtes libre d'exécuter des outils facultatifs pour nettoyer les fichiers indésirables qui ont été laissés sur votre système.

Tom Wijsman
la source
J'ai infecté Windows 7 64 bits par un virus, ne permettant pas l'exécution d'antivirus et d'utilitaires système, et Autoruns n'a toujours pas aidé. J'ai posé une question à ce sujet. superuser.com/questions/1444463/… . Je crois qu'un outil to doit être exécuté au démarrage du système pour contrôler le comportement du système d'exploitation.
WebComer
45

Suivez l'ordre indiqué ci-dessous pour désinfecter votre PC

  1. Sur un PC non infecté, créez un disque AV de démarrage, puis démarrez-le à partir du disque situé sur le PC infecté et analysez le disque dur, puis supprimez toutes les infections détectées. Je préfère le CD / USB de démarrage Windows Defender Offline car il peut supprimer les virus du secteur de démarrage, voir "Remarque" ci-dessous.

    Ou, vous pouvez essayer d' autres disques de démarrage AV .

  2. Après avoir analysé et supprimé les logiciels malveillants à l'aide du disque d'amorçage, installez MBAM gratuitement , exécutez le programme, accédez à l'onglet Mettre à jour et mettez-le à jour, puis accédez à l'onglet Scanneur, effectuez une analyse rapide, sélectionnez et supprimez tout ce qu'il trouve.

  3. Lorsque MBAM est terminé, installez la version gratuite SAS , lancez une analyse rapide, supprimez ce qu'elle sélectionne automatiquement.

  4. Si les fichiers système de Windows étaient infectés, vous devrez peut-être exécuter SFC pour remplacer les fichiers. Vous devrez peut-être le faire en mode hors connexion s'il ne parvient pas à démarrer en raison de la suppression des fichiers système infectés. Je vous recommande d’exécuter SFC après la suppression de toute infection.

  5. Dans certains cas, vous devrez peut-être exécuter une réparation de démarrage (Windows Vista et Windows7 uniquement) pour le redémarrer correctement. Dans les cas extrêmes, 3 réparations de démarrage consécutives peuvent être nécessaires.

MBAM et SAS ne sont pas des logiciels antivirus comme Norton, ce sont des scanneurs à la demande qui ne recherchent les méchants que lorsque vous exécutez le programme et n'interféreront pas avec votre matériel audiovisuel installé. Ils peuvent être exécutés une fois par jour ou par semaine pour vous assurer de ne pas être infectés. Assurez-vous de les mettre à jour avant chaque analyse hebdomadaire.

Remarque: le produit Windows Defender Offline est très efficace pour supprimer les infections persistantes au MBR, courantes dans le monde.

.

Pour les utilisateurs avancés:

Si vous avez une infection unique qui se présente sous forme de logiciel, par exemple, "Fixation système", "AV Security 2012", etc., consultez cette page pour obtenir des guides de suppression spécifiques.

.

Moab
la source
3
Avoir un deuxième ordinateur dédié à l'analyse antivirus est probablement la meilleure solution, car vous ne comptez pas sur le lecteur infecté pour votre système. Cependant, à part les sociétés de support informatique, je doute que beaucoup de gens aient une telle solution.
Gnoupi
2
Si aucun ordinateur dédié n'est disponible, une procédure similaire peut être effectuée en démarrant le système avec un CD live
Ophir Yoktan
@Ophir: Live CD?
Fuddin
En guise de remarque, le Microsoft Standalone System Sweeper n’est que l’ancien nom de Windows Defender Offline, au cas où quelqu'un le trouverait aussi.
Scott Chamberlain
37

Si vous remarquez l'un des symptômes, vérifiez les paramètres DNS de votre connexion réseau.

Si ceux-ci ont été remplacés par «Obtenir l'adresse du serveur DNS automatiquement» ou par un serveur différent de celui qu'il devrait être, c'est un bon signe que vous avez une infection. Ce sera la cause des redirections hors des sites anti-malware, ou un échec complet pour atteindre le site.

C'est probablement une bonne idée de noter vos paramètres DNS avant qu'une infection ne se produise afin de savoir ce qu'ils devraient être. Les détails seront également disponibles sur les pages d’aide du site Web de votre fournisseur de services Internet.

Si vous ne connaissez pas les serveurs DNS et que vous ne trouvez pas les informations sur votre site Web, utilisez les serveurs DNS de Google. C'est une bonne alternative. Vous les trouverez à 8.8.8.8 et 8.8.4.4 pour les serveurs primaire et secondaire, respectivement.

Si la réinitialisation du DNS ne résout pas le problème, elle vous permettra a) d’atteindre les sites anti-malware pour obtenir le logiciel dont vous avez besoin pour nettoyer le PC et b) de déterminer si l’infection se reproduit car les paramètres DNS changeront à nouveau.

ChrisF
la source
33

Ransomware

Les ransomwares sont une nouvelle forme de malware particulièrement horrible . Ce type de programme, généralement fourni avec un cheval de Troie (p. Ex. Une pièce jointe à un courrier électronique) ou un exploit du navigateur, passe en revue les fichiers de votre ordinateur, les chiffre (les rendant complètement méconnaissables et inutilisables) et exige une rançon pour les rendre à un utilisateur utilisable. Etat.

Ransomware utilise généralement la cryptographie à clé asymétrique , qui implique deux clés: la clé publique et la clé privée . Lorsque vous êtes touché par un ransomware, le programme malveillant qui s'exécute sur votre ordinateur se connecte au serveur des malfaiteurs (le système de commande et contrôle ou C & C), qui génère les deux clés. Il envoie uniquement la clé publique au malware sur votre ordinateur, car c'est tout ce dont il a besoin pour chiffrer les fichiers. Malheureusement, les fichiers ne peuvent être déchiffrés qu'avec la clé privée, qui ne vient même jamais dans la mémoire de votre ordinateur si le logiciel de ransomware est bien écrit. Les malfaiteurs déclarent généralement qu'ils vous donneront la clé privée (vous permettant ainsi de déchiffrer vos fichiers) si vous payez, mais vous devez bien sûr leur faire confiance.

Ce que tu peux faire

La meilleure option consiste à réinstaller le système d'exploitation (pour supprimer toute trace de programme malveillant) et à restaurer vos fichiers personnels à partir de sauvegardes effectuées précédemment. Si vous n'avez pas de sauvegardes maintenant, ce sera plus difficile. Prenez l'habitude de sauvegarder des fichiers importants.

Le fait de payer vous permettra probablement de récupérer vos fichiers, mais veuillez ne pas le faire . Cela soutient leur modèle d'entreprise. De plus, je dis «probablement vous laisser récupérer» car je connais au moins deux souches si mal écrites qu'elles écrasent irrémédiablement vos fichiers; même le programme de décryptage correspondant ne fonctionne pas réellement.

Des alternatives

Heureusement, il existe une troisième option. De nombreux développeurs de logiciels de ransomware ont commis des erreurs en laissant les bons professionnels de la sécurité développer des processus qui annulent les dégâts. Le processus pour y parvenir dépend entièrement de la pression des ransomwares et cette liste est en constante évolution. Certaines personnes merveilleuses ont dressé une grande liste de variantes de ransomware , y compris les extensions appliquées aux fichiers verrouillés et le nom de la note de rançon, qui peuvent vous aider à identifier votre version. Pour de nombreuses variétés, cette liste contient également un lien vers un décrypteur gratuit! Suivez les instructions appropriées (les liens se trouvent dans la colonne Decryptor) pour récupérer vos fichiers. Avant de commencer , utilisez les autres réponses à cette question pour vous assurer que le programme ransomware est supprimé de votre ordinateur.

Si vous ne pouvez pas identifier ce qui vous a été touché uniquement par les extensions et le nom de la note de rançon, essayez de rechercher sur Internet quelques phrases distinctives de la note de rançon. Les fautes d'orthographe ou de grammaire sont généralement uniques et vous tomberez probablement sur un fil de discussion identifiant le logiciel de ransomware.

Si votre version n'est pas encore connue ou si vous ne disposez pas d'un moyen gratuit pour décrypter les fichiers, n'ayez pas perdu espoir! Les chercheurs en sécurité travaillent à la suppression des logiciels rançonneurs et les forces de l'ordre poursuivent les développeurs. Il est possible qu'un décrypteur finisse par apparaître. Si la rançon est limitée dans le temps, il est concevable que vos fichiers soient toujours récupérables une fois le correctif développé. Même si ce n'est pas le cas, ne payez pas sauf si vous devez absolument le faire. Pendant que vous attendez, assurez-vous que votre ordinateur est exempt de logiciels malveillants, en utilisant à nouveau les autres réponses à cette question. Sauvegardez les versions chiffrées de vos fichiers pour les protéger jusqu'à la publication du correctif.

Une fois que vous avez récupéré autant que possible (et effectué des sauvegardes sur un support externe!), Envisagez fortement d'installer le système d'exploitation à partir de zéro. Encore une fois, cela supprimera tout programme malveillant qui s’est logé au fond du système.

Astuces supplémentaires spécifiques aux variantes

Quelques astuces spécifiques aux variantes de ransomware qui ne figurent pas encore dans le grand tableur:

  • Si l'outil de déchiffrement de LeChiffre ne fonctionne pas, vous pouvez récupérer la totalité et la première des 8 derniers Ko des données de chaque fichier à l'aide d'un éditeur hexadécimal. Passez à l'adresse 0x2000 et copiez tous les octets sauf les derniers 0x2000. Les petits fichiers seront complètement détruits, mais avec quelques manipulations, vous pourrez peut-être obtenir quelque chose d'utile à partir de fichiers plus volumineux.
  • Si vous avez été touché par WannaCrypt et que vous utilisez Windows XP, n'avez pas redémarré depuis l'infection et avez de la chance, vous pourrez peut-être extraire la clé privée avec Wannakey .
  • Bitdefender propose un certain nombre d’outils gratuits permettant d’identifier la variante et de décrypter certaines variantes spécifiques.
  • (d'autres seront ajoutés au fur et à mesure qu'ils seront découverts)

Conclusion

Ransomware est méchant, et la triste réalité est qu'il n'est pas toujours possible de s'en remettre. Pour rester en sécurité dans le futur:

  • Gardez votre système d'exploitation, votre navigateur Web et votre antivirus à jour
  • N'ouvrez pas les pièces jointes que vous ne vous attendiez pas, surtout si vous ne connaissez pas l'expéditeur.
  • Évitez les sites Web peu précis (c'est-à-dire ceux qui présentent un contenu illégal ou douteux)
  • Assurez-vous que votre compte n'a accès qu'aux documents avec lesquels vous avez personnellement besoin de travailler.
  • Toujours avoir des sauvegardes actives sur un support externe (non connecté à votre ordinateur)!
Ben N
la source
Il existe actuellement quelques programmes censés vous protéger contre les ransomwares, par exemple: winpatrol.com/WinAntiRansom (programme commercial). Je ne l'ai jamais utilisée parce que je ne suis plus sous Windows, mais le produit WinPatrol de cette entreprise est celui que j'utilise depuis des années et que je recommande fréquemment. Certains des développeurs d’antivirus disposent d’outils anti-ransomware, parfois plus coûteux.
Fix1234
Pour plus d'informations sur la suppression de Petya ransomware, consultez également cette question et cette réponse: superuser.com/questions/1063695/…
fixer1234
2
J'ajouterais un autre élément à la liste des conseils dans la conclusion: évitez de visiter des sites promouvant des comportements illégaux ou amoraux, tels que le piratage de médias et de logiciels; contenu interdit dans la plupart des régions du monde; etc. Ces sites font souvent appel à des vendeurs de publicité moins réputés, qui ne font aucun effort pour filtrer le contenu de leurs "annonces", ce qui permet aux criminels d'injecter facilement dans votre page Web un contenu fournissant des programmes malveillants ou d'exploiter votre navigateur. pour accéder à votre système. Parfois, même un bon adblocker manquera ce genre de choses.
Allquixotic
@allquicatic, j'ai ajouté un point dans cette veine. Faites-moi savoir si quelque chose peut être élargi. Merci!
Ben N
31

Il existe une grande variété de logiciels malveillants. Une partie est triviale à trouver et à supprimer. Certains sont plus compliqués. Une partie est vraiment difficile à trouver et très difficile à supprimer.

Toutefois, même si vous avez un logiciel malveillant léger, vous devez sérieusement envisager de reformater et de réinstaller le système d'exploitation. En effet, votre sécurité a déjà échoué et si elle échoue pour un simple malware, vous êtes peut-être déjà infecté par un malware malveillant.

Les personnes travaillant avec des données sensibles ou à l'intérieur de réseaux contenant des données sensibles doivent fortement envisager d'effacer et de réinstaller. Les personnes dont le temps est précieux devraient sérieusement envisager d'effacer et de réinstaller (c'est la méthode la plus rapide, la plus simple et la plus sûre). Les personnes qui ne sont pas à l'aise avec les outils avancés devraient sérieusement envisager d'effacer et de réinstaller.

Mais les personnes qui ont le temps et qui aiment noodling peuvent essayer les méthodes énumérées dans d’autres publications.

DanBeale
la source
3
Correct. Ce matériel est conçu pour contourner la sécurité, le nettoyage et l’utilisation banale des systèmes d’exploitation. Ne participez pas à une course aux armements. La tolérance zéro est la seule politique.
XTL
30

Les solutions possibles pour une infection virale sont dans l’ordre: (1) analyses antivirus, (2) réparation du système, (3) réinstallation totale.

Assurez-vous d'abord que toutes vos données sont sauvegardées.

Chargez et installez des antivirus, assurez-vous qu’ils sont à jour et analysez votre disque dur. Je recommande d'utiliser au moins Malwarebytes 'Anti-Malware . J'aime aussi Avast.

Si cela ne fonctionne pas pour quelque raison que ce soit, vous pouvez utiliser un scanner de virus de secours Live CD: J'aime mieux Avira AntiVir Rescue System car il est mis à jour plusieurs fois par jour et le CD de téléchargement est donc à jour. En tant que CD de démarrage, il est autonome et ne fonctionne pas avec votre système Windows.

Si aucun virus n’est détecté, utilisez "sfc / scannow" pour réparer les fichiers Windows importants.
Voir cet article .

Si cela ne fonctionne pas non plus, vous devez effectuer une installation de réparation .

Si rien ne fonctionne, vous devez formater le disque dur et réinstaller Windows.

harrymc
la source
2
Lorsqu'il a été infecté par un virus / cheval de Troie récent, j'ai utilisé Knoppix sur une clé USB, exécuté apt-get wine, installé le Dr Web Cure-It lors de ma session consacrée au vin et procédé pour nettoyer mon infection. Je devais le faire de cette façon parce que mon ordinateur portable ne démarrerait pas certaines des autres alternatives de CD live.
PP.
23

Le scanner de sécurité Microsoft est un autre outil que je souhaiterais ajouter à la discussion . Il vient de sortir il y a quelques mois. C'est un peu comme l' outil de suppression de logiciels malveillants , mais conçu pour une utilisation hors ligne. Il aura les dernières définitions à partir du moment où vous le téléchargez et ne sera utilisable que pendant 10 jours car il considérera son fichier de définitions comme "trop ​​vieux pour être utilisé". Téléchargez-le avec un autre ordinateur et exécutez-le en mode sans échec. Ça marche plutôt bien.

Scott Chamberlain
la source
22

Un peu de théorie d'abord: s'il vous plaît, réalisez qu'il n'y a pas de substitut à la compréhension .

L' antivirus ultime consiste à comprendre ce que vous faites et généralement ce qui se passe dans votre système, avec votre esprit et dans la soi-disant réalité.

Aucune quantité de logiciel ou de matériel ne vous protégera totalement de vous-même et de vos propres actions, ce qui, dans la plupart des cas, est la raison pour laquelle le logiciel malveillant pénètre dans un système.

La plupart des programmes malveillants modernes, des logiciels publicitaires et des logiciels espions "liés à la production" reposent sur diverses astuces "d'ingénierie sociale" pour vous inciter à installer des applications "utiles", des modules complémentaires, des barres d'outils de navigateur, des "analyseurs de virus" ou de gros Downloadboutons verts permettant d'installer des programmes malveillants. votre machine.

Même un installateur pour une application supposée fiable, telle que par exemple uTorrent, installerait par défaut les logiciels publicitaires (adware) et éventuellement les logiciels espions (spyware) si vous cliquez simplement sur le Nextbouton, sans prendre le temps de lire ce que toutes les cases à cocher signifient.

Le meilleur moyen de lutter contre les astuces d'ingénierie sociale utilisées par les pirates informatiques est l'ingénierie sociale inverse . Si vous maîtrisez cette technique, vous éviterez la plupart des menaces et maintiendrez votre système propre et en bonne santé, même sans antivirus ni pare-feu.

Si vous avez remarqué des signes de formes de vie malveillantes / non sollicitées dans votre système, la seule solution propre serait de reformater et de réinstaller intégralement votre système. Faites une sauvegarde comme décrit dans d’autres réponses ici, formatez rapidement les disques et réinstallez votre système ou, mieux encore, déplacez les données utiles vers un stockage externe, puis reproduisez l’image de la partition système à partir d’une image vierge de la partition que vous avez précédemment créée.

Certains ordinateurs ont une option du BIOS permettant de rétablir les paramètres d'usine par défaut du système. Même si cela peut sembler un peu exagéré, cela ne fera jamais mal et, ce qui est plus important, cela résoudra tous les autres problèmes éventuels, que vous en soyez conscient ou non, sans avoir à traiter chaque problème un à un.

Le meilleur moyen de "réparer" un système compromis est de ne pas le réparer du tout, mais de revenir à un "bon" cliché connu en utilisant un logiciel de création d'image de partition, tel que Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager. ou par exemple ddsi vous avez effectué la sauvegarde à partir de Linux.

ccpizza
la source
12

Avec référence à William Hilsum, "Comment me débarrasser de ceci: Utiliser un CD live" ci-dessus:

Un virus ne pourra pas s'exécuter dans un environnement de CD live, vous pouvez donc utiliser temporairement votre ordinateur sans craindre d'autres infections. Mieux encore, vous pouvez accéder à tous vos fichiers. Le 20 juin 2011, Justin Pot a écrit une brochure intitulée "50 utilisations géniales pour les CD live". Le début de la brochure explique comment démarrer à partir d'un CD, d'une clé USB ou d'une carte SD, et les pages 19 à 20 expliquent comment numériser avec différents "antimalwares", dont certains ont déjà été mentionnés. Les conseils donnés sont précieux pour ce scénario et sont expliqués dans un anglais facile à comprendre. Bien entendu, le reste de la brochure est inestimable pour vos autres besoins informatiques. (le lien vers le téléchargement (au format PDF) est fourni à partir du lien ci-dessous. Rappelez-vous toujours de faire preuve de discernement lorsque vous utilisez Internet, ne soyez pas tenté de vous écarter des "lieux" où les logiciels malveillants sont très susceptibles de se cacher, et ça devrait aller. Tout antivirus, suites de sécurité Internet, etc. que vous utiliserez peut-être devraient avoir les dernières mises à jour et le système d'exploitation que vous utiliserez devrait également être tenu à jour.

http://www.makeuseof.com/tag/download-50-cool-live-cds/

Une fois que vous avez cliqué ou copié et collé le lien ci-dessus, veuillez cliquer sur

TELECHARGEZ 50 utilisations intéressantes pour les CD live (écrits en bleu)

Veuillez noter que j'ai essayé d'écrire ceci dans la section des commentaires, mais que je ne pouvais pas l'adapter. Je l'ai donc donné dans une réponse officielle, car elle est inestimable.

Simon
la source
Je devrais être en désaccord: IMHO si un virus est présent dans un fichier sur le disque dur, même si le système lance Clean à partir du livecd, il est toujours possible d'exécuter le code malveillant lorsque vous exécutez le fichier infecté. S'il n'est pas détecté ou arrêté, il peut même se propager sur d'autres fichiers ou périphériques.
Hastur
9

Deux points importants:

  1. Ne pas être infecté en premier lieu. Utilisez un bon pare-feu et un bon antivirus, et pratiquez l’informatique sécurisée - éloignez-vous des sites douteux et évitez de télécharger des fichiers lorsque vous ne savez pas d’où ils proviennent.
  2. Sachez que de nombreux sites Web vous diront que vous êtes "infecté" quand vous ne l'êtes pas - ils veulent vous amener à acheter leur anti-spyware junky, ou, pire, ils veulent que vous téléchargiez des fichiers à télécharger, en fait, les logiciels espions sont déguisés en "application antispyware gratuite". De même, sachez que de nombreuses personnes sur ce site, principalement par stupidité, diagnostiqueront toute erreur "étrange", en particulier le type de corruption de registre pour laquelle Windows est réputé, en tant que signe d'espionnage.
Daniel R Hicks
la source
8

Comme suggéré précédemment dans cette rubrique, si vous êtes SÛR que vous êtes infecté, utilisez un live CD Linux pour démarrer votre ordinateur et sauvegardez immédiatement toutes vos données sensibles.

Il est également recommandé de stocker vos fichiers sensibles sur un disque dur différent de celui de votre disque de démarrage du système d'exploitation. De cette façon, vous pouvez formater en toute sécurité le système infecté et exécuter une analyse complète de vos données sensibles, par souci de sécurité.

En fait, il n’existe pas de meilleure solution que de formater la partition système pour vous assurer de disposer d’un environnement exempt de virus et de logiciels malveillants. Même si vous utilisez un bon outil (et il y en a sûrement beaucoup), il reste toujours des restes et votre système peut sembler propre pour le moment, mais il devient sûrement une bombe à retardement qui attend pour exploser plus tard.

Lorenzo Von Matterhorn
la source
6

Le 8 décembre 2012, Remove-Malware a publié un didacticiel vidéo intitulé "Supprimer les logiciels malveillants gratuite 2013 Edition", ainsi qu'un guide complémentaire expliquant comment supprimer gratuitement les logiciels malveillants de votre ordinateur infecté.

Ils décrivent

  • Sauvegarde - Comment sauvegarder vos documents personnels importants au cas où votre PC deviendrait inaccessible.
  • Rassembler le logiciel nécessaire pour ce guide.
  • Antivirus amorçable - Pourquoi un antivirus amorçable est le meilleur moyen de supprimer les logiciels malveillants.
  • Disque antivirus amorçable - Comment créer un disque antivirus amorçable.
  • Disque antivirus amorçable - Comment analyser votre PC avec un disque antivirus amorçable.
  • Nettoyage - Arrondissez les restes et retirez-les.
  • Empêcher que cela se reproduise

Le didacticiel vidéo dure plus d' une heure et constitue, avec le guide écrit, une excellente ressource.

Le tutoriel vidéo: lien

Guide écrit: lien

Mise à jour:

Un article très informatif écrit aujourd'hui par 1er février 2013 par J. Brodkin et intitulé "Virus, chevaux de Troie et vers, oh mon dieu: notions de base sur les logiciels malveillants. Les logiciels malveillants mobiles sont peut-être à la mode, mais les logiciels malveillants restent le gros problème". de arstechnica.com met en évidence le problème permanent des logiciels malveillants et de différents types de logiciels malveillants avec des explications sur chacun, en soulignant:

  • Portes coulissantes
  • Trojans d'accès à distance
  • Voleurs d'information
  • Ransomware

L'article met également en évidence la propagation de logiciels malveillants, le fonctionnement de réseaux de zombies et les entreprises attaquées.

Simon
la source
1

RÉPONSE COURTE:

  1. Sauvegardez tous vos fichiers.
  2. Formatez votre partition système.
  3. Réinstallez Windows.
  4. Installez l'antivirus.
  5. Mettez à jour vos fenêtres.
  6. Analysez votre sauvegarde avec un antivirus avant de commencer à l'utiliser.

Aujourd'hui, vous ne pouvez jamais être sûr d'avoir complètement éliminé une infestation, sauf si vous essuyez votre disque et recommencez.

svin83
la source
0

Je ne pense pas que des programmes audiovisuels tels que MSE, MCAfee, Norton, Kaspersky, etc. puissent vous protéger à 100%, car leurs fichiers de définition arrivent toujours après le fait - après que le malware est déjà sur le Web et peut avoir fait beaucoup des dommages. Et beaucoup d’entre eux ne vous protègent pas contre les PUP et les Adwares.

Je ne pense pas non plus que les scanners tels que Malwarbytes, Superantispyware, le scanner Bitdefender et d’autres puissent beaucoup aider lorsque le logiciel malveillant a déjà endommagé votre système. Si vous avez suffisamment de scanners, vous pourrez supprimer le logiciel malveillant, mais vous ne pourrez pas réparer les dommages qu’il a causés.

J'ai donc développé une stratégie en deux temps:

  1. Je crée des images hebdomadaires (j'utilise Macrium gratuit ) de ma partition système et de ma partition de données sur deux disques externes uniquement connectés pendant la création de l'image. Ainsi, aucun malware ne peut les atteindre. Si quelque chose ne fonctionne pas dans mon système, je peux toujours restaurer la dernière image. Je garde habituellement une demi-douzaine d'images complètes au cas où je devrais revenir plus loin que la semaine dernière. De plus, la restauration du système est activée dans mon système d'exploitation, ce qui me permet de revenir rapidement en cas de mise à jour défectueuse. Mais les images système (ombres) ne sont pas très fiables car elles peuvent disparaître pour diverses raisons. Se fier uniquement aux images système ne suffit pas.

  2. La plupart de mes travaux sur Internet sont réalisés à partir d'une partition virtuelle Linux. Linux lui-même n'est pas la cible de logiciels malveillants et les logiciels malveillants Windows ne peuvent pas affecter Linux. Avec ce système je fais

tous mes téléchargements et les vérifier avec Virus Total avant de les transférer sur le système Windows. Virus Total exécute le fichier par le biais de 60 des programmes audiovisuels les plus connus et s’il est propre, les chances qu’il soit propre sont très élevées.

tous les accès Internet à des sites Web pour lesquels je ne suis pas sûr à 100% qu'ils sont propres - comme par exemple ce site Web ici.

tout mon courrier. C'est l'avantage de Gmail et d'AOL. Je peux consulter mes mails avec mon navigateur. Ici, je peux ouvrir n'importe quel courrier sans craindre de contracter un virus. Et les pièces jointes que je lance via Virus Total.

tous mes services bancaires en ligne. Linux me fournit une couche de sécurité supplémentaire

Avec cette approche, je n'ai vu aucun malware depuis des années. Si vous aimez essayer une partition virtuelle Linux, voici comment procéder .

whs
la source
En quoi cela répond-il à "Que dois-je faire si mon ordinateur Windows semble être infecté par un virus ou un logiciel malveillant?"
Andrew Morton
@whs: Andrew Morton a raison de dire que ce n'est pas une réponse à cette question, mais c'est une excellente réponse à une question différente, et il serait vraiment dommage que le vote soit refusé au mauvais endroit. Posez une nouvelle question, par exemple "Comment éviter les infections par logiciels malveillants au-delà de l'exécution d'un programme A / V et des sites Web louches", et postez cette réponse ici.
fix1234
Je sais que c'est une vieille réponse, mais je dois ajouter mes 2 centimes. Linux n'est pas à l'abri de tous les logiciels malveillants. en.wikipedia.org/wiki/Linux_malware De même, les sauvegardes en continu d'un ordinateur personnel ne relèvent pas de la compétence de 99% des utilisateurs moyens.
computercarguy
-2

Quels sont les symptômes d'une infection?


Il se peut que l'utilisateur ne comprenne rien en termes de performances ou de toute autre manière. Dans ces cas, sans précision à 100%, le gestionnaire de tâches s'exécute et il n'a aucune idée de ce que c'est ou de la façon dont il est arrivé. mais il y a des cas où les performances des ordinateurs vont mal, des programmes qui ralentissent, ou pas du tout, ou peu importe ... les symptômes varient vraiment et il y a des cas où une infection pourrait être évidente presque sans réfléchir, des cas qui est difficile de comprendre même que quelque chose ne va pas. tout dépend de ce qui vous infecte (virus, cheval de Troie, nommez-le comme vous le souhaitez) et surtout de la distaster qui en a résulté.


Que dois-je faire après avoir remarqué une infection? Que puis-je faire pour m'en débarrasser? 1. Analysez votre ordinateur avec un antivirus. (KAspersky Internet Security, McAfee, Avast, etc.). N'oubliez pas que même si vous utilisez le meilleur antivirus, il est possible que votre virus soit infecté, mais la désinfection ne s'effectue PAS.100% garanti. 2. conservez une copie de sauvegarde de vos fichiers (assurez-vous qu'ils ne sont pas infectés également) et supprimez tous les fichiers infectés de votre ordinateur, même s'il vous faut les supprimer. si vous les utilisez, vous serez infecté à nouveau, alors considérez-les de toute façon comme perdus. Vous voudrez peut-être essayer d'utiliser un autre programme antivirus et c'est bien, mais n'espérez pas beaucoup. 3. Le meilleur moyen / plus rapide / le plus efficace de se débarrasser d'une infection est de formater votre lecteur de disque et de procéder à une nouvelle installation de votre système d'exploitation. 4. Si vous êtes sur le point d'utiliser N'IMPORTE QUELLE sauvegarde, veillez à la réanalyser à l'aide d'un programme antivirus avant de postuler. il pourrait aussi être infecté avant de pouvoir comprendre que quelque chose n'allait pas.

comment prévenir de l'infection par des logiciels malveillants?

  1. À l’aide d’un antivirus, la plupart des programmes d’antivirus constituent de nos jours une solution pour presque tous les types de programmes malveillants / virus, etc. Rappelez-vous que mieux vaut prévenir que d’essayer de résoudre le problème plus tard. En majorité, ils aident beaucoup. Des applications telles que SpyHunter, Malware Octets, Spybot, etc. sont également très utiles pour une protection supplémentaire. L'utilisation d'un pare-feu est également utile. Gardez à l'esprit que même si votre ordinateur est hors ligne et n'a pas de connexion Internet, vous avez toujours besoin d'un antivirus. Raison? vous pouvez utiliser des CD, des clés USB, des DVD ou d'autres fichiers provenant d'amis / clients, etc., susceptibles d'être infectés. toujours la protection qu'un antivirus offre même dans ce cas est inestimable
  2. Téléchargement / installation / utilisation de logiciels provenant de sources fiables.
  3. Entrer dans des sites Internet de confiance.
  4. Assurez-vous que votre système d'exploitation est TOUJOURS À JOUR! les mises à jour ne sont pas seulement destinées à optimiser les performances, mais également à la sécurité.
George Mavrikis
la source
Cette question a neuf ans et 19 réponses. Qu'ajoutez-vous qui n'a pas déjà été dit?
Scott
Bienvenue sur Super User, et merci d’essayer de contribuer à ce sujet. Vous vous demandez peut-être pourquoi cela a attiré un vote négatif. En fait, s’il s’agissait d’une question typique, votre réponse aurait peut-être bien fonctionné. En tant que nouvel utilisateur, vous ne connaissez pas le contexte. C'est l'une de nos questions "canoniques". Si vous examinez les visites et les votes positifs, c'est parce que nous référons la plupart des personnes ayant des problèmes de programmes malveillants à cette discussion. Pour soutenir cette utilisation, nous avons essayé d’organiser cela en sujets spécifiques, et les articles ont été principalement écrits par certains de nos utilisateurs les plus expérimentés. (suite)
fixer1234 le
Les messages ont également été très polis. Votre réponse ne contribue pas vraiment à quelque chose qui n'a pas déjà été mieux abordé dans d'autres réponses. En tant que base de connaissances, l'un des objectifs du site est que chaque réponse fournisse quelque chose de substantiellement différent de ce qui a déjà été apporté. Je vous encourage donc à continuer à partager vos connaissances, mais envisagez simplement de supprimer ce message.
Fix1234
-14

Le problème avec le balayage des logiciels malveillants en externe ou avec un CD live est que beaucoup de ces logiciels désagréables s’accrochent aux processus de mémoire, aux pilotes et bien plus encore. Si le système d'exploitation du PC n'est pas chargé, ils ne constituent pas non plus un processus de suppression frustrant. TOUJOURS rechercher les programmes malveillants au démarrage du système d'exploitation infecté.

Cela dit, chargez Windows avec une copie de RKILL sur une clé USB. L'exécution de cet utilitaire supprime tout processus malveillant en arrière-plan, vous permettant ainsi de poursuivre la suppression. C'est très efficace. Je n'ai pas encore rencontré de situation où le programme a échoué et je suis surpris de constater combien de techniciens n'en ont jamais entendu parler.

Ensuite, je choisis d’analyser avec Malware Bytes ou ComboFix. L'avantage de ces scanners réside dans l'utilisation de définitions de virus plutôt que dans la recherche de logiciels malveillants basés sur le comportement - une technique très efficace. Un mot d'avertissement cependant - ils sont aussi beaucoup plus dangereux et peuvent VRAIMENT détruire de graves problèmes sur votre système d'exploitation. Assurez-vous d'avoir une sauvegarde.

90% du temps, le processus ci-dessus fonctionne pour moi et j'en retire une tonne de ces choses tous les jours. Si votre extra paranoïaque, exécuter une analyse avec quelque chose comme AVG, SuperAntiSpyware ou Microsoft Security Essentials peut ne pas être une mauvaise idée. Bien que je n’aie jamais vu ces programmes détecter beaucoup plus que le cookie de suivi inoffensif, certaines personnes ne jurent que par elles. Donnez-vous la tranquillité d'esprit et faites-le si vous devez.

Scandaliste
la source
10
ALWAYS scan for malware while the infected OS is booted... c'est un peu comme dire qu'il faut toujours combattre l'ennemi pendant qu'il fait attention . Si votre scanner de programmes malveillants ne parvient pas à trouver le code malveillant alors qu'il est au repos dans un fichier, il n'a aucune chance contre le code tant qu'il est en mémoire capable d'effectuer ses cascades voodoo.
Twisty Impersonator
1
Vous souhaitez donc charger le système d'exploitation pour que les processus malveillants s'exécutent, et ensuite vous souhaitez les supprimer pour pouvoir les supprimer? C'est juste à l'envers à mon avis.
svin83