Pas si simple ! De multiples précautions s'imposent. Un exemple avec Smart Fortress en fin d'article.

Réparer windows avec Windows Repair (All in one)

http://forum.security-x.fr/tutoriels-317/reparer-widnows-avec-windows-repair-%28all-in-one%29/

site_de_windows_repair_aio_setup.exe

Téléchargez en suivant les liens du site…

1. Il conseille de faire une réinitialisation de l’alimentation (afin de décharger toute mémoire volatile).
2. Cette seconde étape vous incite à prioritairement désinfecter votre pc avec Malwarebyte's si vous rencontrez certains problèmes. Suite à un accord entre les développeur et l'éditeur de Malwarebyte's, il est possible de télécharger et lancer directement l'outil depuis Windows Repair.
3. Cette troisième étape est importante si vous rencontrez des erreurs d'accès aux fichiers (problèmes de permission, etc …), elle lancera l'outil de vérification des disques pour réparer au besoin les erreurs avant d'aller plus loin.
4. Pour la quatrième étape, l'outil vous propose de lancer une vérification des fichiers système (le fameux SFC)…
5. L'étape 5 permet de créer un point de restauration système et une sauvegarde du registre.Il est intéressant de le faire car les réparations peuvent dans certains cas provoquer des anomalies.
6. L'avant-dernier onglet, nommé “Settings”, permet de personnaliser l'emplacement du dossier où seront conservé les rapports de réparation.
7. Info : Le dernier onglet, “Tweaks” propose d'autres outils d'optimisation de l'éditeur.

Sont présentés ici trois sites.

Assiste, Malekal puis Zebulon.

Malekal, Zebulon, et Assiste.

• Malekal représente sans doute le meilleur compromis entre efficacité et pédagogie. L'interface du site est de plus agréable.
• Zebulon donne des trucs rapides et concis ( depuis si longtemps !)
• Enfin assiste aec sa Manip de protection d'un PC est le plus exhaustif, la Bible de la protection et de l' installation d'un système sécurisé.

Ils ne sont pas présentés de la même façon, et les procédures divergent parfois.

Les récits linéaires et chronologiques ne conviennent que peu à décrire les méthodes de désinfection soi, des retours en arrière, des patchs et logiciels spécifiques à certaines infectons et des outils plus généralistes.

Sans expérience, il est quasi impossible de ne pas tâtonner, voire de ne pas commettre d'impair.

Nombreux tutos simples et bien écrits tant pour win que nux !

malekal_rogues-attack Article Smart Fortress 2012 de MalwareBot » 28 Fév 2012 11:09

Suite à une attaque SQL par injection qui touche 230 000 sites WEB - on note une grosse recrudescence des demandes de désinfection pour 3 familles de rogues.

Vous trouvez une procédure détaillée pour ces trois rogues en questions sur la page Rogues Attack: Windows Repair et MS Tool Removal supprimer-les-rogues-scarewares

• WindowsRepair
• Une famille ancienne avec un nom aléatoire : Win32/FakeRean 33 en 1
• MS removal tool qui est de la famille Security Tool qui a déjà fait un tabac par le passé (voir Perturbation / Lenteurs forum et site)

procedure-standard-de-desinfection-de-virus

Outre

• ccleaner,
• MBAM, et un Firewall
• zone alarm zaSetupWeb_101_101_000_en.exe,

Malekal propose un 4° outil Combofix

Combofix est un programme qui supprime des trojans/backdoor connus et rootkits.

ComboFix.exe_par SuBs

Placez le sur votre bureau et pas ailleurs

Voici un lien vers un tuto exhaustif how-to-use-combofix

Il redémarrera le système en mode sans échec à plusieurs reprises,rebootera le système, modifiera le boot.ini, etc,etc, coupera toute connexion au réseau …

• Toute la procédure va se dérouler en mode sans échec. Le mode sans échec est un mode restreint de Windows où seulement le minimum vital est mis en fonction.
• Les infections (sauf les rootkits) ne seront donc pas mis en fonction, ceci permet un nettoyage optimal par les antivirus et cleaner.
• Si un programme à la fin de son installation vous propose de redémarrer l’ordinateur, refusez.

Le nettoyage consiste à passer un par un les utilitaires. Dans la mesure du possible et pour une meilleur efficacité, vous devez suivre cette procédure sans interruption, à savoir éviter de redémarrer en mode normal.

N’hésitez pas à laisser tourner le scan toute la nuit si cela prend du temps.

Si votre infection provient de médias amovibles (Clef USB, disque dur externe etc..), vous devez les nettoyer, pour cela utilisez FindyKill.

Tutorial_FindyKill

tutorial-antivir-personal-edition-classic

La majorité des infections à l’heure actuelle intègre des keyloggers (enregistreur de frappes claviers) ou execute des programmes qui recherche les mots de passes de vos sites WEB.

Il est très fortemment conseillé de modifier les mots de passes de TOUS vos sites WEB/FTP surtout si vous consultez le sites de votre banque, eBay, Paypal etc…

La question qui revient le plus souvent après une infection est « quel le meilleur antivirus » – « Mes protections sont-elles bonnes? ».

La suite sur le site.

Il préconise essentiellement l'utilisation de deux outils Roguekiller et MBAM. Puis après désinfection, sécuriser son ordinateur.

http://www.sur-la-toile.com/RogueKiller/

http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe

RogueKiller est un outil écrit en C++, qui scanne les processus en cours d'éxécution, et tue ceux qui sont malicieux. Cet outil est basé sur la rapidité d'éxécution:

Il va faire le ménage dans les processus, et sur demande nettoyer la base de registre afin de faire une désinfection plus rapide et plus sûre ensuite avec les outils habituels.

RogueKiller dans sa nouvelle version présente une interface graphique. Elle permet de choisir plus facilement les modes à utiliser, et décocher des éventuels faux positifs avant suppression.

RogueKiller détecte également les hooks SSDT, Shadow SSDT, les processus cachés, les détournements de Master boot Record (MBR).

RogueKiller est un fix developpé par Tigzy qui permet de supprimer des rogues.

Pensez à renommer le fix si ce dernier est bloqué par les rogues : winlogon, firefox etc.

Une fois RogueKiller passé, on aurait pu utiliser le fix suivant afin de prévenir les “Black Screen Of the Death”.

FixShellQuietly, mais il n'est plus disponible sur le réseau.

Malwarebytes-Anti-Malware

Prendre l'option free.

En cas de problème de mise à jour, Télécharger_mises_à_jour_MBAM

Brancher ses disques amovibles au PC (clefs USB, disque dur externe, etc…) sans les ouvrir. (En cas de propagation par ces supports, en tant que cause de l' infection, ou victimes de l'infection).

Exécuter un examen complet.Cocher toutes les cases pour analyser la totalité des disques.Rechercher.

Le scan terminé, une fenêtre s'ouvre. Si le programme n'a rien trouvé, faire OK. Un rapport apparaît. Si des infections sont présentes, clic sur “Afficher les résultats” puis sur Supprimer la sélection.

Enregistre le rapport sur le Bureau et redémarrer l'ordinateur normalement.

REMARQUE : Autoriser MalwareByte à redémarrer pour terminer la suppression.

onglet “Recherche”, “Exécuter un examen rapide”, “Rechercher”. Le scan est relativement long, c'est normal.

• A la fin de l'analyse, un message s'affiche: “L'examen s'est terminé normalement.”
• Cliquer sur “Ok” pour poursuivre. Si MBAM n'a rien trouvé, il le dira aussi. Fermer les navigateurs.
• Si des malwares ont été détectés, afficher les résultats, sélectionner tout, supprimer la sélection,
• MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.
• Si MBAM demande à redémarrer le pc, accepter.

Au redémarrage, si Windows avertit que certains programmes de démarrage ont été bloqués, cliquer sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

Certaines familles de rogues peuvent bloquer le lancement de RogueKiller, voici une méthode pour passer outre le blocage.

La méthode consiste à lancer le Poste de Travail ou Mon ordinateur. La barre d'adresse en haut doit être visible, il faut cocher dans le menu Affichage / barre d'outils / barre d'adresse. Il se peut qu'elle se plaque à droite, vous devez alors désactiver le déverrouillage, toujours à partir du menu Affichage puis barre d'outils et verrouiller les barres d'outils.

Si celle-ci n'est pas visible, vous pouvez la déplacer en cliquant dessus et en maintenant le bouton gauche enfoncé. Lacher la barre d'outils à l'endroit où vous voulez la placer.

Copier/coller l'adresse de RogueKiller : http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe et cliquez sur Enregistrer. Choisissez le bureau comme emplacement En bas dans le nom du fichier tentez de le renommer (RogueKiller.exe) sera bloqué : RogueKiller.com ou winlogon.exe ou iexplore.exe

Par exemple avec cette famille de rogue (exemple avec Internet Security 2012, renommer en RogueKiller.com ne fonctionnera pas mais Winlogon.exe

Si rien ne marche, tentez les désinfections par LiveCD Iil est important d’avoir fait les sauvegardes de vos documents avant de passer à ces alternatives, Windows peut selon l’infection ne pas redémarrer…

Désinfecter son PC avec Antivir Rescue System

Que l'on peut télécharger ici

avira-antivir-rescue-system

Désinfecter son ordinateur avec un CD Live

Utiliser un autre PC et une clé USB si le Rogue empêche l'accès au net.

WIGI permet d'envoyer de manière anonyme l'historique de navigation afin de récupérer des adresses malicieuses et pouvoir les analyser.

Téléchargez WIGI sur le bureau: WhyIGotInfected.exe

* Lancer WhyIGotInfected.exe * Dans l'onget “History”, cliquez sur “Scan”. * Si vous êtes d'accord pour envoyer de manière anonyme votre historique pour analyse, cliquez sur “Envoi”.

Cet historique sera analysé par des spécialistes afin de retrouver des traces de ton infection pour la suivre et la prévenir.

resolu-infecte-par-smart-fortress

Propose également l'utilisation des deux outils Rogue Killer et MBAM.

A l'occasion d'une recherche par infection par Smart fortress, ce site pcthreat.com/parasitebyid est en bonne place dans les résulats de Google,mais… c'est une arnaque.

Le verbiage ci-dessous en est la preuve “ Si vous pensez ne jamais en être victime, réfléchissez-y encore”.

Smart Fortress 2012 est une application antispyware malhonnête qui a été créée dans le but d'arnaquer les utilisateurs sans méfiance. Si vous pensez ne jamais en être victime, réfléchissez-y encore, car ce programme malhonnête est passé maître dans l'art de faire croire aux utilisateurs qu'ils sont infectés par de multiples menaces et qu'ils doivent utiliser Smart Fortress 2012 pour supprimer les logiciels malveillants nouvellement « détectés ».

Dans le meilleur des cas, il est payant et ne fait rien…dans le pire des cas, il est aussi un malware …comme un utilisateur ci-dessous en a eu la preuve. Le pseudo “Spyhunter3” ne fait rien !!

attention-faux-anti-spy

“Sur ce lien ils proposent un fichier qui corrigerait le problème ; personnellement je ne l'ai jamais eu mais ces faux logiciels sont une nouvelle manière pour les hackers de se faire plaisir ; là en plus c'est se faire de l'argent. ne jamais faire confiance à des sites dont on ne connait pas l'origine, et surtout ne jamais laisser ses coordonnées, quelles qu'elles soient, à ces sites.”

Il faut avoir ces sites sous la main, car en ce domaine moins qu'en aucun autre, google n'est pas votre ami !

Malekal et Zebulon sont cités au dessus, mais on n'oubliera pas “Assiste.free”, qui bien que présentant des outils un peu anciens et des tutos de 2007 propose une manip préventive afin d'éviter d'être infecté…et plusieurs curatives très exhaustives.

Logiciels inutiles ou piégés ou trompeurs ou crapuleux Ne pas utiliser - Ne pas acheter - Ne pas tester

Liste de logiciels prétendant jouer dans la cour de la sécurité informatique.

Et voilà, le pseudo logiciel est bien dans la base de logiciels inutiles et trompeurs. spyhunter

sites_de_securite_crapuleux

vulnerabilites_tests_en_ligne

boite_a_outils_hijackthis

boite_a_outils

listes_et_bases_de_donnees_des_virus

Les antivirus étendent votre protection contre les virus en analysant et en surveillant le dossier stockant vos points de restauration afin d'éviter que tout virus puisse s'y insérer. Si un virus entrait dans un point de restauration, il serait actif lors d'une éventuelle restauration.

Ah bon ? Direz-vous. Les points de restauration système, ce coffre-fort destiné à nous sauver la mise en cas de problème, ne sont pas si sûrs que cela ? Ils peuvent être infectés ? Et bien OUI.

Ceci est expliqué ici.

Il produit un journal de tout ce qui se lance au démarrage de Windows (et liste quelques paramètres) et uniquement cela. Il centralise en une unique liste ordonnée et méthodique des informations éparpillées un peu partout dans Windows. Ce n'est pas du tout un outil d'analyse comme peuvent l'être un antivirus ou un anti-trojans.