Pas si simple ! De multiples précautions s'imposent. Un exemple avec Smart Fortress en fin d'article.
Réparer windows avec Windows Repair (All in one)
http://forum.security-x.fr/tutoriels-317/reparer-widnows-avec-windows-repair-%28all-in-one%29/
site_de_windows_repair_aio_setup.exe
Téléchargez en suivant les liens du site…
Sont présentés ici trois sites.
Assiste, Malekal puis Zebulon.
Malekal, Zebulon, et Assiste.
Ils ne sont pas présentés de la même façon, et les procédures divergent parfois.
Les récits linéaires et chronologiques ne conviennent que peu à décrire les méthodes de désinfection soi, des retours en arrière, des patchs et logiciels spécifiques à certaines infectons et des outils plus généralistes.
Sans expérience, il est quasi impossible de ne pas tâtonner, voire de ne pas commettre d'impair.
Nombreux tutos simples et bien écrits tant pour win que nux !
malekal_rogues-attack Article Smart Fortress 2012 de MalwareBot » 28 Fév 2012 11:09
Suite à une attaque SQL par injection qui touche 230 000 sites WEB - on note une grosse recrudescence des demandes de désinfection pour 3 familles de rogues.
Vous trouvez une procédure détaillée pour ces trois rogues en questions sur la page Rogues Attack: Windows Repair et MS Tool Removal supprimer-les-rogues-scarewares
procedure-standard-de-desinfection-de-virus
Outre
Malekal propose un 4° outil Combofix
Combofix est un programme qui supprime des trojans/backdoor connus et rootkits.
Placez le sur votre bureau et pas ailleurs
Voici un lien vers un tuto exhaustif how-to-use-combofix
Il redémarrera le système en mode sans échec à plusieurs reprises,rebootera le système, modifiera le boot.ini, etc,etc, coupera toute connexion au réseau …
Le nettoyage consiste à passer un par un les utilitaires. Dans la mesure du possible et pour une meilleur efficacité, vous devez suivre cette procédure sans interruption, à savoir éviter de redémarrer en mode normal.
N’hésitez pas à laisser tourner le scan toute la nuit si cela prend du temps.
Si votre infection provient de médias amovibles (Clef USB, disque dur externe etc..), vous devez les nettoyer, pour cela utilisez FindyKill.
La majorité des infections à l’heure actuelle intègre des keyloggers (enregistreur de frappes claviers) ou execute des programmes qui recherche les mots de passes de vos sites WEB.
Il est très fortemment conseillé de modifier les mots de passes de TOUS vos sites WEB/FTP surtout si vous consultez le sites de votre banque, eBay, Paypal etc…
La question qui revient le plus souvent après une infection est « quel le meilleur antivirus » – « Mes protections sont-elles bonnes? ».
La suite sur le site.
Il préconise essentiellement l'utilisation de deux outils Roguekiller et MBAM. Puis après désinfection, sécuriser son ordinateur.
http://www.sur-la-toile.com/RogueKiller/
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
RogueKiller est un outil écrit en C++, qui scanne les processus en cours d'éxécution, et tue ceux qui sont malicieux. Cet outil est basé sur la rapidité d'éxécution:
Il va faire le ménage dans les processus, et sur demande nettoyer la base de registre afin de faire une désinfection plus rapide et plus sûre ensuite avec les outils habituels.
RogueKiller dans sa nouvelle version présente une interface graphique. Elle permet de choisir plus facilement les modes à utiliser, et décocher des éventuels faux positifs avant suppression.
RogueKiller détecte également les hooks SSDT, Shadow SSDT, les processus cachés, les détournements de Master boot Record (MBR).
RogueKiller est un fix developpé par Tigzy qui permet de supprimer des rogues.
Pensez à renommer le fix si ce dernier est bloqué par les rogues : winlogon, firefox etc.
Une fois RogueKiller passé, on aurait pu utiliser le fix suivant afin de prévenir les “Black Screen Of the Death”.
FixShellQuietly, mais il n'est plus disponible sur le réseau.
Prendre l'option free.
En cas de problème de mise à jour, Télécharger_mises_à_jour_MBAM
Brancher ses disques amovibles au PC (clefs USB, disque dur externe, etc…) sans les ouvrir. (En cas de propagation par ces supports, en tant que cause de l' infection, ou victimes de l'infection).
Exécuter un examen complet.Cocher toutes les cases pour analyser la totalité des disques.Rechercher.
Le scan terminé, une fenêtre s'ouvre. Si le programme n'a rien trouvé, faire OK. Un rapport apparaît. Si des infections sont présentes, clic sur “Afficher les résultats” puis sur Supprimer la sélection.
Enregistre le rapport sur le Bureau et redémarrer l'ordinateur normalement.
REMARQUE : Autoriser MalwareByte à redémarrer pour terminer la suppression.
onglet “Recherche”, “Exécuter un examen rapide”, “Rechercher”. Le scan est relativement long, c'est normal.
Au redémarrage, si Windows avertit que certains programmes de démarrage ont été bloqués, cliquer sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.
Certaines familles de rogues peuvent bloquer le lancement de RogueKiller, voici une méthode pour passer outre le blocage.
La méthode consiste à lancer le Poste de Travail ou Mon ordinateur. La barre d'adresse en haut doit être visible, il faut cocher dans le menu Affichage / barre d'outils / barre d'adresse. Il se peut qu'elle se plaque à droite, vous devez alors désactiver le déverrouillage, toujours à partir du menu Affichage puis barre d'outils et verrouiller les barres d'outils.
Si celle-ci n'est pas visible, vous pouvez la déplacer en cliquant dessus et en maintenant le bouton gauche enfoncé. Lacher la barre d'outils à l'endroit où vous voulez la placer.
Copier/coller l'adresse de RogueKiller : http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe et cliquez sur Enregistrer. Choisissez le bureau comme emplacement En bas dans le nom du fichier tentez de le renommer (RogueKiller.exe) sera bloqué : RogueKiller.com ou winlogon.exe ou iexplore.exe
Par exemple avec cette famille de rogue (exemple avec Internet Security 2012, renommer en RogueKiller.com ne fonctionnera pas mais Winlogon.exe
Si rien ne marche, tentez les désinfections par LiveCD Iil est important d’avoir fait les sauvegardes de vos documents avant de passer à ces alternatives, Windows peut selon l’infection ne pas redémarrer…
Désinfecter son PC avec Antivir Rescue System
Que l'on peut télécharger ici
Désinfecter son ordinateur avec un CD Live
Utiliser un autre PC et une clé USB si le Rogue empêche l'accès au net.
WIGI permet d'envoyer de manière anonyme l'historique de navigation afin de récupérer des adresses malicieuses et pouvoir les analyser.
Téléchargez WIGI sur le bureau: WhyIGotInfected.exe
* Lancer WhyIGotInfected.exe * Dans l'onget “History”, cliquez sur “Scan”. * Si vous êtes d'accord pour envoyer de manière anonyme votre historique pour analyse, cliquez sur “Envoi”.
Cet historique sera analysé par des spécialistes afin de retrouver des traces de ton infection pour la suivre et la prévenir.
resolu-infecte-par-smart-fortress
Propose également l'utilisation des deux outils Rogue Killer et MBAM.
A l'occasion d'une recherche par infection par Smart fortress, ce site pcthreat.com/parasitebyid est en bonne place dans les résulats de Google,mais… c'est une arnaque.
Le verbiage ci-dessous en est la preuve “ Si vous pensez ne jamais en être victime, réfléchissez-y encore”.
Smart Fortress 2012 est une application antispyware malhonnête qui a été créée dans le but d'arnaquer les utilisateurs sans méfiance. Si vous pensez ne jamais en être victime, réfléchissez-y encore, car ce programme malhonnête est passé maître dans l'art de faire croire aux utilisateurs qu'ils sont infectés par de multiples menaces et qu'ils doivent utiliser Smart Fortress 2012 pour supprimer les logiciels malveillants nouvellement « détectés ».
Dans le meilleur des cas, il est payant et ne fait rien…dans le pire des cas, il est aussi un malware …comme un utilisateur ci-dessous en a eu la preuve. Le pseudo “Spyhunter3” ne fait rien !!
“Sur ce lien ils proposent un fichier qui corrigerait le problème ; personnellement je ne l'ai jamais eu mais ces faux logiciels sont une nouvelle manière pour les hackers de se faire plaisir ; là en plus c'est se faire de l'argent. ne jamais faire confiance à des sites dont on ne connait pas l'origine, et surtout ne jamais laisser ses coordonnées, quelles qu'elles soient, à ces sites.”
Il faut avoir ces sites sous la main, car en ce domaine moins qu'en aucun autre, google n'est pas votre ami !
Malekal et Zebulon sont cités au dessus, mais on n'oubliera pas “Assiste.free”, qui bien que présentant des outils un peu anciens et des tutos de 2007 propose une manip préventive afin d'éviter d'être infecté…et plusieurs curatives très exhaustives.
Logiciels inutiles ou piégés ou trompeurs ou crapuleux Ne pas utiliser - Ne pas acheter - Ne pas tester
Liste de logiciels prétendant jouer dans la cour de la sécurité informatique.
Et voilà, le pseudo logiciel est bien dans la base de logiciels inutiles et trompeurs. spyhunter
Les antivirus étendent votre protection contre les virus en analysant et en surveillant le dossier stockant vos points de restauration afin d'éviter que tout virus puisse s'y insérer. Si un virus entrait dans un point de restauration, il serait actif lors d'une éventuelle restauration.
Ah bon ? Direz-vous. Les points de restauration système, ce coffre-fort destiné à nous sauver la mise en cas de problème, ne sont pas si sûrs que cela ? Ils peuvent être infectés ? Et bien OUI.
Ceci est expliqué ici.
Il produit un journal de tout ce qui se lance au démarrage de Windows (et liste quelques paramètres) et uniquement cela. Il centralise en une unique liste ordonnée et méthodique des informations éparpillées un peu partout dans Windows. Ce n'est pas du tout un outil d'analyse comme peuvent l'être un antivirus ou un anti-trojans.