Comment puis-je réparer un ordinateur infesté de malwares et extrêmement silencieux? [dupliquer]

Duplication possible:
Comment puis-je me débarrasser des logiciels espions, des logiciels malveillants, des virus ou des rootkits malveillants de mon PC?

Je dépanne un ordinateur Windows 7 pour un ami. Il y a quelques jours, il a commencé à fonctionner «lentement». Il s’avère que "lent" est à environ 15 minutes pour le premier aperçu du bureau, et un autre 30 pour afficher des icônes. Il est possible d'ouvrir le Gestionnaire des tâches et rien ne semble aller de travers, une utilisation du processeur de 1 à 5%, beaucoup de mémoire disponible.

La machine est clairement infestée de logiciels malveillants, cependant, notamment un programme appelé «Optimizer Pro» exige de l’argent pour «supprimer 5102 fichiers ralentissant mon ordinateur». Cela semble très suspect.

Cependant, mon problème est que je ne peux pas y accéder msconfig(je l'ai laissé quelques heures après l'avoir tapé dans le menu Démarrer et appuyé sur Entrée - rien ne semble l'avoir chargé), ou quoi que ce soit fondamentalement. Je peux démarrer à partir d’un Linux Live CD, mais puis-je réellement faire quelque chose d’utile à partir de là?

La restauration du système ne le résout pas non plus, et le mode sans échec présente le même comportement.

Je recommande de réinstaller Windows

Si vous essayez de récupérer l’installation existante, vous finirez par y passer des heures, voire des journées de travail, sans rien avoir à montrer pour vos efforts. Et même si vous pouviez utiliser avec succès tous les outils de suppression de logiciels malveillants, je ne pensais pas que tous les logiciels malveillants avaient effectivement été supprimés, car, par définition, les auteurs de programmes malveillants ont toujours une longueur d’avance sur ceux qui les suppriment. Une fois infectée, cette machine est probablement chargée de toutes sortes de mauvaises choses.

Alors...

1. Formater le disque dur
2. Installer Windows

Et, comme l’a suggéré l’un des commentateurs, vous devez supposer que tous les fichiers et toutes les données de l’ancienne installation sont infectés et ne doivent pas être approuvés.

Différents fournisseurs d’antivirus disposent de CD-ROM de secours / d’analyse amorçables. Deux gratuits sont:

Kaspersky Rescue Disk 10

Kaspersky Rescue Disk 10 est conçu pour analyser et désinfecter les ordinateurs infectés compatibles x86 et x64.

L'application doit être utilisée lorsque l'infection est tellement grave qu'il est impossible de désinfecter l'ordinateur à l'aide d'applications antivirus ou d'utilitaires de suppression de logiciels malveillants (tels que Kaspersky Virus Removal Tool) s'exécutant sous le système d'exploitation.

AVG Rescue CD

AVG Rescue CD Sauvegardez rapidement votre entreprise en cas de panne du système.

Supprime les infections, répare les fichiers et récupère les systèmes.

Je vais faire un saut ici et demander d’abord plus à ce sujet, puis publier mes hypothèses sur l’ordinateur. Vous avez dit que cela n'utilise que 1 à 5% de la CPU, mais que ça avance toujours lentement? Bien que je ne dise pas qu'il n'est pas criblé de virus ou quoi que ce soit parce que cela pourrait très bien être, je tiens à souligner que cela crie du matériel défectueux pour moi. La prochaine fois que vous ouvrirez le gestionnaire de tâches, allez consulter le moniteur de ressources. Voici un guide simple pour utiliser le moniteur de ressources.

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

Ouvrez le gestionnaire de tâches et accédez à l'onglet Performances. En bas se trouve un bouton pour le moniteur de ressources. Une fois celui-ci ouvert, consultez l'onglet Disque en haut et regardez le temps que prennent les demandes. En regardant mon ordinateur et l'image d'ordinateur trouvée sur ce site, je vais deviner que pour un lecteur non SSD, les temps de réponse inférieurs à 100 millisecondes semblent être ce que vous recherchez. Si l'ordinateur a plus de 1 seconde de temps de réponse pour tout, votre ordinateur sera lent, quel que soit le processus de démarrage. Commentez ici et laissez-nous savoir si le temps de réponse du disque est lent. Si c'est le cas, vous pouvez essayer d'exécuter un disque de vérification sur le lecteur et attendre indéfiniment qu'il se termine pour voir si cela résout le problème.

N'oubliez pas que cela peut ne pas être le problème, mais si c'est le cas, la réinstallation de Windows ou l'exécution d'un scan antivirus ne résoudront pas le problème.

Pour ajouter mes idées au mélange ...

Essayez de retirer le disque dur incriminé et de le brancher sur un chariot externe, puis branchez-le sur un PC en état de fonctionnement. Vous pouvez ensuite vérifier le disque, exécuter des contrôles anti-virus / malware, defrag, etc.

En outre, récupérez ce que vous pouvez des fichiers dont vous avez besoin (en prenant soin de ne rien copier qui pourrait potentiellement infecter un autre PC. Assurez-vous bien que le PC hôte dispose d’une bonne protection avant de le faire.

Si, après avoir remis le disque dur en place et qu'il fonctionne toujours mal, j'envisage de réinstaller Windows. Le temps nécessaire pour essayer de résoudre d’autres problèmes ne vaudra pas la peine.

Si vous pouvez démarrer en mode sans échec, je le ferais.

• Antimalware Malwarebytes est un excellent programme gratuit comme mentionné ci-dessus et ils viennent de publier un programme Antirootkit, bien que dans la version bêta

• Je suis également un fan de DR Web Cureit Free Antivirus (scanner à la demande)

• Le CD de démarrage de Hiren est probablement l'un des CD de programmes de démarrage les plus complets.

• Il est possible que votre ordinateur soit gravement fragmenté et nécessite une défragmentation. Dans ce cas, je recommande Ultradefrag Free Edition.

• Ccleaner pour nettoyer toutes les ordures de votre système

Tout ce qui précède ne vous coûtera pas un centime non plus.

Whinston Gordon a récemment écrit un excellent article pour Lifehacker le 6 novembre 2012, intitulé «Les hypothèses que vous faites sur votre PC lent (et pourquoi elles sont probablement fausses)» . J'espère que vous trouverez une lecture intéressante!

Téléchargez et démarrez n'importe quelle distribution Linux Live pour vérifier si la machine est handicapée (RAM défectueuse, disque dur défectueux, ...) ou s'il s'agit d'une installation trop ancienne de Windows (éventuellement une attaque de virus). En cas d'attaque de virus, vous pouvez télécharger http://free.drweb.com/ cd live démarrable avec un antivirus pour vous assurer que votre ordinateur est propre. Le scanner gratuit drweb nous met à jour plusieurs fois par jour, ce qui lui permet de détecter et de réparer les codes malveillants les plus récents.

Le meilleur outil que j'ai utilisé est Malwarebytes . Je l'ai utilisé quand j'ai travaillé dans l'informatique il y a quelques années. De plus, Kaspersky est bon, tout comme AVG (comme suggéré ci-dessus), ou une combinaison de tous.

Une autre excellente option, qui inclut l'image en direct de Malwarebytes, est le BootCD de Hiren ( lien direct pour télécharger).

À la fin de la journée, je pense toujours que la réponse du responsable du chien est probablement la "meilleure" solution.

Par contre, laisser un problème tel quel, n’est probablement pas la façon de faire les choses.

Ceci est vraiment une version condensée de certaines des réponses précédentes, avec quelques observations supplémentaires.

D'après mon expérience, les disques durs sont une raison majeure pour ralentir les ordinateurs. Ce sont des appareils bizarres avec de nombreux modes d'échec et d'erreur. Il y a d' autres raisons à regarder aussi

Démarrer sur un cd générique linux générique est très utile dans ce cas. Il y a deux choses que vous voulez faire lorsque vous étudiez de possibles problèmes de conduite. Tout d’abord, vous voulez demander au lecteur si c’est correct - smartmontools(ou son interface graphique gsmartcontrol) est assez bon ici. Vous voulez des résultats généralement «sains». Pendant que vous y êtes, vous pouvez également exécuter hdparm -Tt /dev/sdXxplusieurs fois pour obtenir un résultat de référence de la vitesse du disque. Exécutez la même commande sur un disque sain et similaire pour voir s'il est vraiment plus lent.

Je suggère également de faire la récupération au niveau du fichier à ce stade. Un disque mal monté ne montera pas automatiquement sous Linux - vous devrez le mount -f /dev/SDXx /mount/pointforcer à monter. Si le disque est visiblement endommagé selon smartmontools, utilisez une variante DD centrée sur la récupération pour effectuer une sauvegarde - Gnu ddrescue est un bon choix. Cela créera une image en ignorant les secteurs défectueux

En supposant que le disque est ok, ça devient compliqué. Vous pourriez probablement exécuter une analyse AV hors ligne pour essayer de la nettoyer, puis l'insérer dans un autre système pour en assurer la maintenance.

Vous pouvez également monter la ruche de registre d’un autre système Windows pour modifier manuellement les entrées de démarrage (le moment idéal pour effectuer une vérification antivirus à partir d’un système Windows et effectuer une défragmentation) ou utiliser l’éditeur de registre du disque du changeur de mot de passe hors connexion en supposant que vous 's re cherche.

Si nous effectuons des activités liées à la récupération / réparation à l'aide des outils Windows, vous pouvez envisager de créer un disque PE (si vous ne voulez pas utiliser un disque actif basé sur XP), ou d'utiliser une installation distincte «jetable» pour ces tâches. réduire le risque de contamination croisée par des logiciels malveillants.

À ce stade, vous DEVEZ avoir déterminé si le disque est lent, s'il s'agit d'un logiciel malveillant et si vous pensez que cela vaut la peine de le réparer. Vous auriez également dû obtenir vos données. Si ses logiciels malveillants, ainsi que les analyses hors connexion et les enregistrements en différé échouent, vous pouvez exécuter shred à partir du livecd pour nettoyer le disque. Si sa défaillance matérielle, vous pouvez restaurer à partir de cette sauvegarde DD. Si rien de tout cela, les choses deviennent intéressantes

Hiren est votre ami.

http://www.hirensbootcd.org/download/

Téléchargez-le, gravez-le, démarrez-le à partir d'un ordinateur lent.

Il existe une série d'outils permettant de vérifier les erreurs, notamment le disque dur, le processeur, la mémoire, etc.

Exécutez-en quelques-unes pour voir ce que vous trouvez.

Certains programmes de sécurité vous permettent également de faire un scan AV / Malware.

Hautement recommandé.

Avez-vous vérifié vos disques durs? Peut-être que certains secteurs sont défectueux, ce qui retarde considérablement l'accès à certains fichiers. Essayez d’exécuter chkdsk /ren mode sans échec (ou utilisez un autre outil de réparation de disque).

La réinstallation est recommandée. Toutefois, si le périphérique contient des données que vous ne pouvez pas vous permettre de perdre, essayez d’essayer Microsoft Defender Offline .

Fondamentalement, il vous permet de contourner le système d’exploitation et d’effectuer ensuite une analyse du disque dur. Assurez-vous de télécharger une nouvelle copie afin de disposer des définitions antivirus récentes.

Si le PC est toujours lent après cela, vous pouvez essayer de démarrer avec un CD / USB Linux pour copier vos données, puis de réinstaller Windows. Assurez-vous cependant de numériser le disque dur de sauvegarde sur une autre machine (protégée) avant de la recopier sur l’ancienne machine.

Au moins, ce malware ralentit le PC d’une manière respectueuse de l’environnement et ne maximise pas le nombre de processeurs!

La réponse courte à la question initiale est de réinstaller comme mentionné précédemment. Cependant, de nos jours, les auteurs de programmes malveillants savent que la plupart des utilisateurs se réinstallent au lieu d’essayer de les supprimer. Ainsi, la plupart ne prennent que des contre-mesures contre les outils automatisés et non avec une personne compétente du terminal. Donc, si une réinstallation n’est pas souhaitable et que cela ne vous dérange pas de perdre quelques heures (ou plus), il n’est généralement pas difficile de supprimer la plupart des logiciels malveillants.

Toutefois, vous devez connaître l'invite de commande et savoir distinguer les logiciels malveillants des logiciels légitimes. Ici, rien ne remplace l'expérience, mais j'ai trouvé l'approche ci-dessous efficace.

Tout d'abord préparer l'environnement:

1. Sur un autre ordinateur vierge, téléchargez une copie de la suite Sysinternals et copiez-la sur une clé USB (ou directement sur le disque dur de l'ordinateur, si possible).
2. Renommez deux des utilitaires, procexp.exe et autoruns.exe, en noms de fichiers aléatoires (mais notez-les pour les reconnaître!)
3. Déconnectez toutes les connexions réseau.
4. Démarrez l'ordinateur en mode sans échec, accédez au bureau. Le mode sans échec n’est pas essentiel, mais cela aide car il y aura moins de processus en cours d'exécution et les logiciels malveillants devraient se distinguer plus facilement. L'utilisation d'un profil d'utilisateur vierge peut également aider pour la même raison, mais cela peut masquer votre infection car il y a probablement des entrées dans le registre de l'utilisateur.
5. Ouvrez une invite de commande en tant qu'administrateur et lancez taskkill /F /IM explorer.exepour tuer l'explorateur. Cela arrête une bonne quantité de logiciels malveillants, facilitant ainsi leur suppression. Si vous ne parvenez pas à exécuter l'invite de commande, une copie renommée depuis un autre PC peut être efficace (vous pouvez parfois vous en sortir en faisant simplement une copie sur le même ordinateur).
6. À partir de l'invite de commande, lancez procexp et autoruns via les exécutables renommés. Notez qu'il est possible que des logiciels malveillants détectent les hachages ou d'autres caractéristiques et vous empêchent de lancer ces outils, mais au moins le hachage ne serait pas une approche fiable, car ils sont mis à jour assez fréquemment. Habituellement, toutes les mesures correctives contre ces outils recherchent le nom du fichier.

À partir de là, vous pouvez utiliser autoruns et procexp pour supprimer les logiciels malveillants, mais il s’agit tout autant d’un art que d’une science. Procexp vous montre ce qui est en cours d’exécution, et autoruns vous explique comment il s’est lancé. Les modèles à rechercher sont:

• Les noms de fichiers qui semblent générés aléatoirement
• Logiciels exécutant des répertoires temporaires
• Logiciel s'exécutant dans le profil de l'utilisateur. Avec Vista et les versions ultérieures, l’exécution de logiciels à partir du profil est devenue plus courante pour éviter les invites d’altitude, mais la plupart des logiciels légitimes s’installeront quand même dans Program Files. Etant donné que celui-ci a clairement un accès root, vous allez le rechercher dans les répertoires système, mais il pourrait y avoir un observateur et l’infection provient généralement du profil de l’utilisateur (téléchargements, fichiers Internet temporaires).
• Fichiers récemment modifiés dans C: \ Windows et System32
• Noms proches des fichiers binaires Windows légitimes tels que cmd.exe, services.exe (ou les mêmes noms de fichiers, mais au mauvais emplacement). J'ai vu cnd.exe, service.exe. explore.exe dans mon temps.
• Rundll32.exe entrées. Beaucoup sont légitimes, mais inspectez les processus pour voir quelles DLL sont chargées.

Conseils de suppression:

• Il peut être utile de simplement rassembler des informations avant d'essayer de supprimer des processus et de supprimer des entrées - cela vous donne une vue d'ensemble plus holistique et il est plus efficace de prendre plusieurs étapes successives que de procéder de manière isolée, car les processus d'observation peuvent très rapidement vous ramène à l'étape 1.
• Pour tout ce qui est évident, utilisez les fonctions kill et delete de procexp. Si cela échoue, il est parfois utile d'utiliser echo > "c:\path\to\malware.exe"l'invite de commande pour effacer son fichier, suivie de kill et delete.
• Utilisez les autoruns pour trouver où il est accroché. J'utilise cet outil car il semble être complet. À part un rootkit ou une modification des fichiers exécutables du système, les programmes malveillants ne disposent pas de beaucoup d'autres moyens, le cas échéant. Pour gagner du temps, utilisez l'option "Masquer les entrées Microsoft", désactivée par défaut.
• Si vous trouvez un accrochage dans les lancements automatiques qui chargent une DLL avec chaque exécutable, vos processus en cours d'exécution (y compris vos outils de détection) vont maintenir le malware en vie. Dans ce cas, vous devez vider la DLL incriminée avec echo comme ci-dessus, tuer et relancer tous vos logiciels (cela devrait entraîner une erreur de DLL chaque fois que vous exécutez un programme), puis redémarrez. Mais assurez-vous d’avoir enlevé d’abord les autres crochets.
• Il se peut qu'un processus de surveillance surveille les modifications apportées au logiciel malveillant et les restaure. Si tel est le cas, vous devrez peut-être effectuer plusieurs actions simultanément, et le seul moyen fiable consiste à utiliser un script batch. Mais en fonction de l'intervalle de vérification, il peut suffire d'exécuter les étapes rapidement et en séquence.
• Si vous ne trouvez rien et qu'il s'avère être un rootkit, il devient beaucoup plus difficile de le trouver et de le supprimer - vous avez besoin d'outils qui contournent les fenêtres de niveau supérieur. C'est probablement un peu au-delà de ce qui peut être couvert dans une réponse de superutilisateur, mais utiliser RootkitRevealer suivi d'un cd de démarrage linux pour supprimer les fichiers réels peut être efficace (n'oubliez pas de renommer l'exe).
• Si vous devez redémarrer avant d'être certain de le supprimer, couper l'alimentation au lieu de procéder à un redémarrage ordonné élimine une possibilité supplémentaire de réinfection. Assurez-vous simplement que vous avez sauvegardé leurs données en premier.

Étant donné que ce logiciel malveillant particulier nécessite de l’argent pour réparer votre ordinateur et le ralentir, il est probable que la charge de DLL soit chargée. Cela ne modifie probablement pas les fichiers système et n’installe pas de rootkit, car cela risquerait davantage de casser le système. Vous devriez donc pouvoir l'enlever en utilisant l'approche générale ci-dessus, mais si vous manquez un crochet, vous risquez de revenir à la case départ au prochain démarrage.

Si cela semble demander beaucoup d’efforts, c’est vrai. La réinstallation est généralement plus facile et vous ne pouvez plus jamais faire totalement confiance à un ordinateur une fois qu’un logiciel malveillant s’y trouve. Mais personnellement, je trouve cela assez amusant: c’est vous et le créateur de programmes malveillants, et vous avez l’avantage évident d’être l’humain sur la console!

Vous pouvez consulter Windows Defender Offline , il recherche les programmes malveillants et vous donne la possibilité de le réparer.

Pour simplifier, vous avez soit un problème de matériel, soit un logiciel, soit les deux.

Déterminez si le démarrage depuis votre ordinateur est activé sur votre ordinateur ou via USB, et les étapes pour démarrer à partir d'un support externe s'il est désactivé par défaut. Une recherche rapide sur Google accélère souvent ce processus.

Utilisez un cd en direct, tel que le CD d’amorçage ultime, pour rechercher des erreurs dans la RAM et sur le disque dur. Testez la RAM avec Memtest86 + et utilisez la suite de tests du fabricant de votre disque dur, telle que les disques durs DLG for WD . Cela éliminera la plupart des problèmes de mémoire et de disque dur. Vous pouvez également vérifier la température du système si vous souhaitez éliminer les problèmes thermiques.

Ensuite, exécutez un live CD Linux ou démarrez une distribution Linux à partir de l’USB. Si cela ne présente aucun problème et s'exécute beaucoup plus rapidement que le système installé sans aucun problème de stabilité, c'est le démarrage et le démarrage instantané. Transférez tous les éléments "ne pouvant pas perdre" du disque dur vers un support externe à ce stade. Vous voudrez analyser ces fichiers à la recherche de programmes malveillants avant de les obtenir à proximité d'un PC en parfait état. Il est préférable de les numériser dans une sorte d’environnement réel.

Si vous n'avez pas déjà essayé la partition de restauration, vous pouvez choisir d'effectuer une "restauration destructive" à partir d'ici, mais je ne fais pas beaucoup confiance aux partitions de restauration, car elles peuvent être infectées par des logiciels malveillants, tout comme les partitions normales. . C’est ici qu’il est intéressant d’être un utilisateur Linux, car il n’est pas nécessaire de parler de clés de licence et d’installation de supports.

Si vous souhaitez rester sous Windows, voici vos étapes:

Recherchez un disque de restauration système ou une version légitime du système d'exploitation que vous souhaitez installer. Vérifiez qu'il s'agit d'une version "complète" et non d'une version "mise à niveau" nécessitant l'installation d'une version antérieure du système d'exploitation. Assurez-vous d'avoir la clé de licence et entrez-la correctement. Préparez-vous à appeler le fabricant si la restauration ne fonctionne pas correctement ou Microsoft si l'installation du système d'exploitation échoue.

Prenez le "CD de démarrage ultime" mentionné précédemment et exécutez Boot and Nuke de Darik . Il faudra un certain temps pour effacer le lecteur. Puisque vous envisagez de réinstaller, vous pouvez utiliser l’un des modes de formatage les plus rapides. Un "effacement rapide" ou "DoD short" devrait faire l'affaire.

Installez le système d’exploitation à partir de rien sur le disque dur (maintenant vierge).

Si nécessaire, transférez les anciens fichiers qui ont été analysés à plusieurs reprises à la recherche de virus, dans la nouvelle installation du système d'exploitation. Profitez du processus d'installation des mises à jour logicielles et système.

Maudissez-vous de ne pas avoir de sauvegarde plus récente ou d'implémenter une routine de sauvegarde d'image système. Vœu de mieux faire et d’espérer qu’il n’y aura pas de prochaine fois. Il y aura probablement une prochaine fois.

La solution appropriée consiste à le supprimer et à réinstaller Windows. Si ce n'est tout simplement pas une solution, la seule autre solution appropriée consiste à utiliser une configuration linux de cd / usb en direct pour exécuter des packages de logiciels anti-virus hors de votre installation Windows.

J'ai parcouru toutes les réponses et suis surpris de constater que Trinity Rescue Kit n'a pas encore été mentionné!

Cette suite logicielle est ma solution goto lorsque j'essaie de supprimer les logiciels malveillants, les virus et les rootkits d'un ordinateur infecté. Il a 3 ou 4 solutions logicielles différentes qui vont sur le net et vont chercher ses dernières définitions avant de commencer son processus de numérisation / nettoyage.