Université Abdelmalek Essaâdi / Ecole Normale Supérieure – Tétouan

Département d’Informatique / DUT 2° ANNEE IPE/IG

TP2_Didacticiel sur la suppression des malwares
Les virus ne sont plus les seuls éléments nuisibles à votre ordinateur, il existe en effet de nombreux autres programmes pouvant modifier ou endommager le bon fonctionnement de votre PC comme les vers et chevaux de Troie. Le terme de malware (contraction de malicious software) désigne ces nouvelles menaces. Nous allons aborder ici une méthode à suivre afin d'éradiquer de façon définitive ces hôtes indésirables qui pourraient infester votre PC.

Première partie
Mode normal infesté 1) Connaître son ennemi : - Si vous avez la chance de connaître le nom du virus-malware-Spyware-trojan et autre méchant qui vous attaque, alors faites une recherche sur le net afin de récupérer un maximum d'informations, voire même de scripts ou de logiciels spécifiques susceptibles de permettre son éradication. 2) Eviter à tout prix la propagation : - Dès l'infection constatée, il faut isoler par précaution votre machine attaquée des autres machines si vous êtes en réseau. 3) Stopper les processus actifs : - Les attaques les plus simples proviennent de processus actifs, votre Gestionnaire de Tâches vous en donne la liste, mais aussi certains logiciels (InXPpect,...). 4) Stopper les processus récalcitrants : - Certains processus refusent d'être stoppés, il faut donc utiliser des gestionnaires de processus (KillProcess, APM,...). - Il est intéressant aussi de connaître les ressources lancées par un processus (Advanced Process Termination, RegRun Control Center,...). 5) Désactiver la restauration système : - Les antivirus ne scannent pas certains fichiers cachés par le système, il est donc nécessaire de la désactiver. 6) Réparer Windows en conservant les données : - SI vous estimez que des fichiers système sont atteints, vous pouvez lancer une réparation en conservant les données. 7) Utiliser un antivirus en ligne : - Votre machine est infectée mais pas la machine distante, ce test est donc très intéressant,
A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG 2010/2011

Page 1

de nombreux sites en proposent (Antivirus en ligne sur Zebulon, BitDefender, Secuser,FSecure, Security Check, McAfee FreeScan, Panda ActiveScan,...). 8) Passer un nettoyeur de registre : - L'infection peut atteindre la Base De Registre, il faut donc la nettoyer (Regcleaner,...).

Mode sans échec (tapotez sur la touche F8 pendant l'amorçage du système) - Dans ce mode, seuls les pilotes de périphériques indispensables sont chargés. L'ensemble des services et des programmes résidents sont désactivés. Votre carte graphique est en mode super VGA. 1) Nettoyer les fichiers Windows inutiles : - Supprimer tous les fichiers du répertoire c:\windows\prefetch, à l'exception de layout.ini. 2) Supprimer les fichiers temporaires : - Ils sont crées, entre autre, lors de l'utilisation de windows installer pour l'installation de logiciels ou de leur mises à jour. 3) Supprimer les fichiers mis en quarantaine : - Lorsque votre antivirus ne peut supprimer un virus, il propose de le mettre en quarantaine. Certains virus permettent de réactiver ces "virus dormants". 4) Supprimer les fichiers suspects : - Rechercher avec l'explorateur Windows tous les fichiers que vos antivirus ont trouvé et surtout ne pas oublier au préalable de rendre "visible" les fichiers cachés. 5) Nettoyer les fichiers inutiles : - Appliquer l'astuce Nettoyer les fichiers inutiles. - Il existe aussi des nettoyeurs de fichiers qui font le ménage pour vous (JV6PowerTools, BeClean, Internet Sweeper,...). 6) Nettoyer les listes MRU : - Ces listes contiennent des informations telles que les noms ou les endroits des derniers dossiers que vous avez consultés. (MRUBlaster,...). 7) Nettoyer le/les disque(s) durs : - Penser à cocher toutes les options de nettoyage. 8) Vider la corbeille : - Les fichiers vérolés de la corbeilles peuvent êtres réactivés par des scripts malveillants. 9) Lancer Hijackthis : - Le programme est téléchargeable ici. Vous pouvez faire une évaluation de log, toutefois, il faut faire attention à ce diagnostic et demander conseil s'il y a le moindre doute, ensuite il faut supprimer les lignes suspectes. 10) Vérifier les paramètres de démarrage : - Editer le fichier "boot.ini" avec Msconfig et faire le ménage dans MS Config. - Pour les experts, vérifier les clés lancées par la Base de Registre au démarrage (HKLM...\Run...). 11) Analyser les fichiers système : - Il est possible de faire un scan en ligne de commande "sfc /scannow" avec le CD Windows
A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG 2010/2011

Page 2

installé. 12) Scanner votre disque dur avec un antivirus : - Il existe de nombreux antivirus gratuits et performants (Escan, Stinger, Avast, Antivir, AVG, F-Prot,...). 13) Scanner la Base de Registre : - C'est la plupart du temps dans la BDR que s'incrustent les virus, il faut donc nettoyer mais aussi placer des gardiens. (Spybot S&D, RegCleaner, RegistryProt,...). 14) Scanner avec un anti-spyware/malware : - Même un très bon antivirus peut laisser passer un spyware ou un malware. Il faut donc analyser mais aussi placer des gardiens. (Ad-aware, Pest Patrol, Spywareblaster, SpywareGuard, Tauscan,...). 15) Rechercher les Trojans: - Le trojan, appelé aussi Cheval de Troie est un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en ouvrant une porte dérobée ou backdoor. - Il faut palier à sa propagation par les 65000 ports de la machine que le firewall (Windows, NIS, Zone Alarm, Tiny personal firewall, Kerio, Outpost, VisualZone,...) n'a pas pu arrêter. Puis Scanner avec un anti-trojan (The Cleaner, CWshredder, a², Anti-Trojan...). - Consulter les listes des ports-trojans (liste1, liste2). - Vous pouvez utiliser le logiciel Zeb Protect et fermer certains ports sensibles aux attaques venant d'Internet.

Seconde partie
Mode normal éradiqué 1) Réactiver la restauration du système 2) Boucher les failles de sécurité : - Il est impératif de faire les mises à jour "critiques" de Windows. - Un résumé clair et concis de toutes les failles sur ordi-netFR. 3) Vérifier les mises à jour de votre antivirus : - La plupart des antivirus du commerce possèdent une mise à jour automatique (LiveUpdate). 4) Vérifier les paramètres de votre firewall 5) Vérifier les ports : - La sécurité passe aussi par le contrôle des ports, vous pouvez les scanner en mode commande (netstat -ano (XP) ; netstat -an (W2k)). - Il y a aussi la possibilité de faire le test de sécurité scanneur de port TCP (désactiver temporairement Norton s'il est présent). 6) Vérifier les services de windows : - Le gestionnaire des services se lance en mode de commande (services.msc). Il est possible d'optimiser les services. - D'autres informations pour Configurer les services. 7) Nettoyer la Base de Registre
A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG 2010/2011

Page 3

- Il existe de nombreux programmes : EZCleaner, EasyCleaner, RegClean, RegCleaner... 8) Sauvegardez vos fichiers Systèmes 9) Faire une restauration du système 10) Créer vos disquettes et vos CD de démarrage : - En cas de plantage, Munissez-vous d'une compilation d'utilitaires gravés sur CD (UltimateBootCD). 11) Faire une image de votre partition système saine : - Quelques logiciels le permettent, ils vous assurent la tranquillité (DrvImagerXP, PolderBackup, Partition Saving, Norton Ghost, Drive Image,...).

Problèmes fréquemment rencontrés - Impossible de lancer un fichier d'extension .exe (lancer ExeFix08) - Plus de gestionnaire des tâches (Lancer taskmgr.exe ou installer un gestionnaire de Processus) - Comment se débarrasser des virus W32.Blaster..Worm (dont Lovsan) (FixBlast) - Comment éradiquer TV Media (Adware TV Media Removal Tool) - Impossible de lancer l'éditeur de la base de registre, Voici la procédure à suivre - Empêcher votre ordinateur de redémarrer (Attaque Blaster), lancer la commande "shutdown -a" - Fixer la famille de virus Korgo (FixKorgo) - Retrouver votre fichier AUTOEXEC.NT (Add/Remove Plus!) - Eradiquer la famille de virus Bagle (FxBeagle) - Spybot affiche une alerte DSO exploit

Petit lexique de "méchants" rencontrés sur HIJACKTHIS O2 - BHO: MxTargetObj Class - {...} - C:\WINDOWS\mxTarget.dll O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1014.dll,InstantAccess O16 - DPF: {...} - http://akamai.downloadv3.com/binaries/P2EC...1014_FR_XP.cab1

Liste de logiciels freeware (en ligne ou locaux) Antivirus en ligne : - Antivirus en Ligne sur Zebulon - BitDefender - Secuser (détection des vers et virus) - F-Secure - Symantec Security Check - McAfee Free Scan - Panda ActiveScan - Spychecker (détection Spyware) - Trojanscan (détection des troyens)

Autres logiciels
A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG 2010/2011

Page 4

Antivirus : - Escan - Stinger - Avast - Antivir - F-Prot

Contrôleurs de ports Firewall (Pare-feu) : - Zone Alarm - VisualZOne (Add-on ZoneAlarm) - Outpost Ports et Chevaux de Troie (Trojan) : - The Cleaner - CWShredder - A² - Zeb Protect Nettoyeurs/Gardiens de Registre : - EZCleaner - RegCleaner - Spybot Search & Destroy - RegistryProt Nettoyeurs/gardiens de Spyware/malware : - SpyWareBlaster - SpywareGuard - Ad-Aware - Pest Patrol - Tauscan (30j) - HijackThis - Hijackthis (Evaluation de log) - Adware TV Media Removal Tool Nettoyeurs de fichiers : - JV6PowerTools - BeClean - Internet Sweeper - MRUBlaster BHO : - BHODemon Processus : - KillProcess - Advanced Process Manipulation - Advanced Process Termination - RegRun Control Center - InXPpect (aujourd'hui Ekinx)

A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG

2010/2011

Page 5

Anti-SPAM : - SpamPal - Magic Mail Monitor Anti-PopUp : - PopUp Stopper Système : - DrvImagerXP (FR) - Partition Saving (US) - PolderBackup (US) - UltimateBootCD Autres utilitaires : - ExeFix08 - FixKorgo - FxBeagle - FixBlast - Add/Remove Plus! 2004 - Plus d'utilitaires : sur secuser - sur Comment ça marche ? Articles/Astuces : - Scanner de ports - Services.msc - Faire le ménage dans MSConfig - Nettoyer les fichiers inutiles - Configurer les services - Gestionnaire des tâches - Liste des ports-trojans : http://www.glocksoft.com/trojan_port.htm & http://www.simovits.com/nyheter9902.html - Le site ordi-netfr - Comment faire une installation sécurisée de Windows - Lutter contre les virus - Sites à consulter : http://assiste.free.fr/ & http://taplolo.free.fr/aidetechnique/aide.htm Tutoriaux : - Antivir - HijackThis - OutPost - Spybot S&D - SpywareGuard - Zeb Protect - Zone Alarm Source : Zebulon.fr ( http://www.zebulon.fr/dossiers/49-malwares.html

A.Rafaoui ** ENS Tétouan** Université Abdelmalek Essaâdi**DUT 2° ANNEE IPE/IG

2010/2011

Page 6