Question Comment puis-je supprimer les logiciels espions, logiciels malveillants, logiciels publicitaires, virus, chevaux de Troie ou rootkits malveillants de mon PC?


Que dois-je faire si mon ordinateur Windows semble être infecté par un virus ou un logiciel malveillant?

  • Quels sont les symptômes d'une infection?
  • Que dois-je faire après avoir remarqué une infection?
  • Que puis-je faire pour m'en débarrasser?
  • Comment prévenir les infections par des logiciels malveillants?

Cette question revient fréquemment et les solutions suggérées sont généralement les mêmes. Ce wiki de communauté est une tentative de servir de réponse définitive, la plus complète possible.

N'hésitez pas à ajouter vos contributions via des modifications.


431
2017-11-30 15:16


origine


Une chose à ne PAS faire est d'installer l'un des outils «anti-malware» que vous êtes invité à consulter lorsque vous accédez à une page Web indiquant: «Votre ordinateur est infecté par un virus! Ce sont presque certainement des logiciels malveillants eux-mêmes. Vous ne devez utiliser que des outils bien contrôlés - (probablement) ceux nommés ci-dessous ou sur un autre site de confiance. - Daniel R Hicks
@Gnoupi Cet article peut être intéressant maketecheasier.com/... - Simon
Pour quiconque vient juste de se poser cette question en voulant la version tl; dr ... Une fois infecté, il n'y a aucun moyen à effectuer une autopsie numérique sur la machine) pour se débarrasser / s’assurer que vous vous êtes débarrassé d’une infection. Les logiciels malveillants peuvent se cacher dans vos fichiers, vos programmes d’application, vos systèmes d’exploitation, votre micrologiciel… C’est pourquoi vous ne devriez jamais faire confiance à un ordinateur infecté. Les fournisseurs de solutions audiovisuelles tenteront de vous convaincre que leur produit est la solution miracle qui permettra de réparer votre système. Ils mentent. - Parthian Shot
@DanielRHicks dans certains cas, ils conduisent à un produit AV légitime. La dernière fois, j'ai vu cela sur Android avec sa "fonctionnalité de support publicitaire intégrée" agaçante (les barres d'annonce apparaissant au bas des applications et des pages Web). Par exemple, je viens de taper un "supprimer les virus!" annonce et j'ai atterri dans le Google Play Store sur le Sécurité 360 - Antivirus Boost page d'applications. - David Balažic
Lorsque nous considérons la possibilité de créer des rootkits virtuels et des rootkits de micrologiciels, nous pouvons dire à peu près ceci: vous êtes désossé. Ces deux types de rootkit sont enregistrés dans les zones de votre ordinateur que vous ne pouvez pas nettoyer. Si vous voulez vous en débarrasser, vous devez acheter un nouvel ordinateur. Les rootkits du micrologiciel sont rares et les rootkits virtuels n'existent pas encore mais l'existence de ces deux Rootkits prouve qu'il n'y a pas de solution 100% fonctionnelle qui maintiendra votre malware informatique libre pour l'éternité et au-delà. En allemand, je le concilierais avec un "Eierlegende Wollmilchsau" - BlueWizard


Réponses:


Voici la chose: Malware ces dernières années est devenu à la fois sournois et plus méchant:

Sneakier, car il voyage en paquets. Des logiciels malveillants subtils peuvent se cacher derrière des infections plus évidentes. Il y a beaucoup de bons outils répertoriés dans les réponses ici qui peuvent trouver 99% des logiciels malveillants, mais il y a toujours 1% qu'ils ne peuvent pas encore trouver. Surtout, ce 1% est un truc qui est Nouveau: les outils malveillants ne peuvent pas le trouver car il vient juste de sortir et utilise un nouvel exploit ou technique pour se cacher que les outils ne connaissent pas encore.

Les logiciels malveillants ont également une courte durée de vie. Si vous êtes infecté, quelque chose de ce nouveau 1% est très susceptible d'être une partie de votre infection. Ce ne sera pas le entier infection: juste une partie. Les outils de sécurité vous aideront à trouver et à supprimer les logiciels malveillants les plus évidents et les plus connus, et vous permettront probablement de supprimer tous les éléments visibles. symptômes (parce que vous pouvez continuer à creuser jusqu'à ce que vous vous soyez rendu aussi loin), mais ils peuvent laisser de petits morceaux, comme un keylogger ou un rootkit qui se cache derrière un nouvel exploit que l'outil de sécurité ne sait pas encore vérifier. Les outils anti-malware ont toujours leur place, mais j'y reviendrai plus tard.

NastierEn ce sens, il ne suffit pas d’afficher des annonces, d’installer une barre d’outils ou d’utiliser votre ordinateur comme un zombie. Les logiciels malveillants modernes sont susceptibles de fonctionner correctement pour les informations bancaires ou de carte de crédit. Les gens qui construisent ce genre de choses ne sont plus des enfants de script à la recherche de la célébrité. ils sont maintenant des professionnels organisés motivés par profit, et s’ils ne peuvent pas vous voler directement, ils chercheront quelque chose ils peuvent se retourner et vendre. Il peut s'agir de ressources de traitement ou de réseau de votre ordinateur, mais il peut également s'agir de votre numéro de sécurité sociale ou du chiffrement de vos fichiers et de leur rançon.

Rassembler ces deux facteurs et cela ne vaut plus la peine d'essayer de supprimer les logiciels malveillants d'un système d'exploitation installé. J'avais l'habitude d'être très bon pour enlever ce genre de choses, au point que je faisais une partie importante de ma vie de cette façon, et je ne fais même plus la tentative. Je ne dis pas que cela ne peut pas être fait, mais je dis que les résultats des analyses coûts / avantages et risques ont changé: cela ne vaut tout simplement plus la peine. Il y a trop en jeu, et il est trop facile d’obtenir des résultats sembler pour être efficace.

Beaucoup de gens seront en désaccord avec moi à ce sujet, mais je conteste qu'ils ne pèsent pas assez lourdement sur les conséquences d'un échec. Êtes-vous prêt à parier vos épargnes de vie, votre bon crédit, même votre identité, que vous êtes mieux que les escrocs qui en font des millions tous les jours?  Si vous essayez de supprimer les logiciels malveillants et continuez d’exécuter l’ancien système, exactement que fais tu.

Je sais qu'il y a des gens qui lisent cette pensée, "Hé, j'ai enlevé plusieurs infections de diverses machines et rien de grave ne s'est jamais produit." Moi aussi mon ami. Moi aussi. Dans le passé, j'ai nettoyé ma part de systèmes infectés. Néanmoins, je suggère que nous devons maintenant ajouter "encore" à la fin de cette déclaration. Vous pouvez être efficace à 99%, mais vous ne devez vous tromper qu'une seule fois et les conséquences d'un échec sont beaucoup plus graves qu'auparavant. Le coût d'une seule défaillance peut facilement dépasser tous les autres succès. Vous pourriez même avoir une machine déjà là qui a encore une bombe à retardement à l'intérieur, attendant juste d'être activée ou de collecter les bonnes informations avant de les rapporter. Même si vous avez un processus 100% efficace maintenant, cela change tout le temps. Rappelez-vous: vous devez être parfait à chaque fois; les méchants doivent seulement avoir de la chance une fois.

En résumé, c'est dommage, mais si vous avez une infection confirmée par des logiciels malveillants, une re-pavage complète de l'ordinateur devrait être le premier placez-vous au lieu du dernier.


Voici comment accomplir cela:

Avant d'être infecté, assurez-vous de pouvoir réinstaller tous les logiciels achetés, y compris le système d’exploitation, qui ne dépendent de rien stocké sur votre disque dur interne. À cette fin, cela signifie normalement que vous devez vous accrocher à cd / dvds ou à des clés de produit, mais le système d'exploitation peut vous demander de créer des disques de récupération vous-même. Ne vous fiez pas à une partition de récupération pour cela. Si vous attendez une infection pour vous assurer que vous avez besoin de la réinstaller, vous risquez de vous retrouver à payer pour le même logiciel. Avec la montée en puissance du ransomware, il est également extrêmement important de faire des sauvegardes régulières de vos données (en plus, vous savez, des choses non malveillantes comme la défaillance du disque dur).

Lorsque vous pensez avoir des logiciels malveillants, regardez les autres réponses ici. Il y a beaucoup de bons outils suggérés. Mon seul problème est la meilleure façon de les utiliser: je ne les utilise que pour la détection. Installez et exécutez l'outil, mais dès qu'il détecte une véritable infection (plus qu'un simple «suivi des cookies»), arrêtez l'analyse: l'outil a fait son travail et a confirmé votre infection.1

Au moment d'une infection confirmée, suivez les étapes suivantes:

  1. Vérifiez vos comptes de crédit et de banque. Au moment où vous découvrirez l'infection, des dommages réels ont peut-être déjà été causés. Prenez toutes les mesures nécessaires pour sécuriser vos cartes, votre compte bancaire et votre identité. Modifiez les mots de passe sur n'importe quel site Web auquel vous avez accédé à partir de l'ordinateur compromis. N'utilisez pas l'ordinateur compromis pour faire tout cela. 
  2. Faites une sauvegarde de vos données (encore mieux si vous en avez déjà un).
  3. Réinstallez le système d'exploitation à l'aide des disques fournis avec l'ordinateur, achetés séparément ou du disque de récupération que vous avez dû créer lorsque l'ordinateur était neuf. Assurez-vous que la réinstallation inclut un re-formatage complet de votre disque. une opération de restauration du système ou de récupération du système ne suffit pas.
  4. Réinstallez vos applications.
  5. Assurez-vous que votre système d'exploitation et votre logiciel sont entièrement à jour et corrigés.
  6. Exécutez une analyse antivirus complète pour nettoyer la sauvegarde de l'étape deux.
  7. Restaurez la sauvegarde.

Si cela est fait correctement, cela peut prendre entre deux et six heures réelles, réparties sur deux ou trois jours (voire plus) pendant que vous attendez des choses telles que les applications à installer, les mises à jour Windows à télécharger ou les fichiers de sauvegarde volumineux. pour transférer ... mais c'est mieux que de découvrir plus tard que les escrocs ont vidé votre compte bancaire. Malheureusement, ceci est quelque chose que vous devriez faire vous-même ou que vos amis techy font pour vous. Avec un taux de consultation typique d'environ 100 $ l'heure, il peut être moins coûteux d'acheter une nouvelle machine que de payer une boutique pour le faire. Si un ami le fait pour vous, faites quelque chose de gentil pour montrer votre appréciation. Même les geeks qui aiment vous aider à mettre en place de nouvelles choses ou à réparer du matériel cassé souvent haine l'ennui du travail de nettoyage. Il est également préférable que vous preniez vos propres sauvegardes ... vos amis ne sauront pas où vous mettez les fichiers ou lesquels sont vraiment importants pour vous. Vous êtes mieux placé pour faire une bonne sauvegarde qu’ils ne le sont.

Bientôt, tout cela ne suffira peut-être pas, car il existe maintenant des logiciels malveillants capables d'infecter le micrologiciel. Même remplacer le disque dur ne peut pas supprimer l'infection et l'achat d'un nouvel ordinateur sera la seule option. Heureusement, à ce moment-là, j'écris ceci, nous ne sommes pas encore à ce point, mais il est définitivement à l'horizon et approche rapidement.


Si vous insistez absolument, au-delà de toute raison, sur le fait que vous voulez vraiment nettoyer votre installation existante plutôt que de tout recommencer, alors, pour l'amour de Dieu, assurez-vous que la méthode utilise l'une des deux procédures suivantes:

  • Retirez le disque dur et connectez-le en tant que disque invité dans un autre ordinateur (propre!) Pour exécuter l'analyse.

OU

  • Démarrez à partir d'une clé CD / USB avec son propre ensemble d'outils exécutant son propre noyau. Assurez-vous que l'image est obtenue et gravée sur un ordinateur propre. Si nécessaire, demandez à un ami de créer le disque pour vous.

Vous ne devez en aucun cas essayer de nettoyer un système d'exploitation infecté en utilisant un logiciel fonctionnant en tant que processus invité du système d'exploitation compromis. C'est tout simplement stupide.


Bien sûr, le meilleur moyen de corriger une infection est de l’éviter d’abord, et vous pouvez faire certaines choses pour y remédier:

  1. Gardez votre système patché. Assurez-vous rapidement installez les mises à jour Windows, les mises à jour Adobe, les mises à jour Java, les mises à jour Apple, etc. C'est bien plus important que les logiciels antivirus, et pour la plupart, ce n'est pas si difficile, tant que vous restez à jour. La plupart de ces sociétés se sont informées de manière informelle sur la publication de nouveaux correctifs le même jour chaque mois, donc si vous vous tenez à jour, cela ne vous interrompt pas souvent. Les interruptions de Windows Update ne se produisent généralement que lorsque vous les ignorez trop longtemps. Si cela vous arrive souvent, c'est sur toi pour changer votre comportement. Ceux-ci sont important.
  2. Ne pas exécuter en tant qu'administrateur par défaut. Dans les versions récentes de Windows, c'est aussi simple que de laisser la fonctionnalité UAC activée.
  3. Utilisez un bon outil de pare-feu. De nos jours, le pare-feu par défaut de Windows est en fait suffisant. Vous pouvez vouloir compléter cette couche avec quelque chose comme WinPatrol qui aide à arrêter les activités malveillantes sur le front-end. Windows Defender fonctionne également dans cette capacité. Les plug-ins de base du navigateur Ad-Blocker deviennent également de plus en plus utiles à ce niveau en tant qu'outil de sécurité.
  4. Définissez la plupart des plug-ins de navigateur (notamment Flash et Java) sur "Demander à activer".
  5. Courir actuel Logiciel antivirus. C'est une cinquième distance aux autres options, car les logiciels A / V traditionnels ne sont souvent plus efficaces. Il est également important de souligner le "courant". Vous pourriez avoir le meilleur logiciel antivirus au monde, mais s'il n'est pas à jour, vous pouvez tout aussi bien le désinstaller.

    Pour cette raison, je recommande actuellement Microsoft Security Essentials. (Depuis Windows 8, Microsoft Security Essentials fait partie de Windows Defender.) Il existe probablement des moteurs d’analyse bien meilleurs, mais Security Essentials restera à jour sans risquer d’être expiré. AVG et Avast fonctionnent également de cette manière. Je ne peux tout simplement pas recommander un logiciel anti-virus que vous devez réellement payer, car il est bien trop courant qu'un abonnement payant se termine et que vous vous retrouviez avec des définitions obsolètes.

    Il convient également de noter ici que les utilisateurs de Mac doivent désormais exécuter un logiciel antivirus. Les jours où ils pouvaient partir sans elle ont disparu depuis longtemps. En passant, je pense que c'est hilarant Je dois maintenant recommander aux utilisateurs de Mac d’acheter un logiciel anti-virus, mais de prévenir les utilisateurs de Windows.

  6. Évitez les sites de torrent, les warez, les logiciels piratés et les films / vidéos piratés. Ce truc est souvent injecté avec des logiciels malveillants par la personne qui l'a piraté ou posté - pas toujours, mais assez souvent pour éviter tout le désordre. Cela fait partie de la raison pour laquelle un cracker ferait cela: souvent, ils obtiendront une réduction des bénéfices.
  7. Utilisez votre tête lorsque vous naviguez sur le Web. Vous êtes le maillon le plus faible de la chaîne de sécurité. Si quelque chose semble trop beau pour être vrai, c'est probablement le cas. Le bouton de téléchargement le plus évident est rarement celui que vous souhaitez utiliser lors du téléchargement de nouveaux logiciels. Assurez-vous donc de lire et de comprendre tout ce qui se trouve sur la page Web avant de cliquer sur ce lien. Préférez également de télécharger le logiciel et les mises à jour / mises à niveau directement du fournisseur ou du développeur plutôt que des sites Web d'hébergement de fichiers tiers.

1 C’est le bon moment pour souligner que j’ai quelque peu adouci mon approche au cours de la dernière année. Aujourd'hui, la plupart des «infections» entrent dans la catégorie des programmes potentiellement indésirables (programmes potentiellement indésirables) et des extensions de navigateur incluses avec d'autres téléchargements. Souvent, ces PUP / extensions peuvent être retirés en toute sécurité par des moyens traditionnels. Il s'agit maintenant d'un pourcentage suffisamment élevé de logiciels malveillants que je peux arrêter à ce stade et essayez simplement la fonctionnalité Ajout / Suppression de programmes ou l'option normale du navigateur pour supprimer une extension. Cependant, au premier signe de quelque chose de plus profond - tout indice que le logiciel ne va pas simplement se désinstaller normalement - et que cela revient à repaver la machine.


257



Cela semble être le plus sage, de nos jours, en effet. J'ajouterais qu'il existe une autre raison pour que certains logiciels malveillants soient sournois: ils resteront en sommeil et utiliseront votre ordinateur pour d'autres activités. Pourrait être un proxy, stocker des choses plus ou moins illégales, ou faire partie d'une attaque DDOS. - Gnoupi
@ConradFrix Trop tôt pour le dire ... Je n'ai pas encore eu besoin de le faire sur un PC Windows 8 ... mais je suis pessimiste car cela ne se traduit pas par un reformatage du disque. Windows 8 inclut plusieurs améliorations de sécurité, notamment l’exécution d’un logiciel antivirus à partir de l’heure 0 dans le cadre du système d’exploitation, de sorte que j’espère ne jamais avoir à le faire pour Windows 8. - Joel Coehoorn
@DanielRHicks a lu la phrase complète. Il est de deux à six heures de votre temps, réparti sur une journée ou trois, où vous êtes efficace pour donner un coup de pied et vérifier plus tard. Si vous êtes tout en baby-sitting, alors oui: ça va prendre du temps. - Joel Coehoorn
@JoelCoehoorn Est-ce que c'est juste moi, ou un logiciel malveillant aussi avancé qui infecterait le micrologiciel sur toutes sortes de composants, rendant inutile toute tentative de suppression? - Enis P. Aginić
N'oubliez pas que si vous faites une sauvegarde APRÈS que vous découvrez l'infection, il est fort probable que la sauvegarde elle-même soit infectée. Veuillez analyser la sauvegarde avant de tenter une restauration. - Tejas Kale


Comment savoir si mon PC est infecté?

Les symptômes généraux des logiciels malveillants peuvent être n'importe quoi. Les habituels sont:

  • La machine est plus lente que la normale.
  • Des échecs aléatoires et des événements qui ne se produisent pas (par exemple, certains nouveaux virus imposent des restrictions de stratégie de groupe à votre ordinateur pour empêcher le gestionnaire de tâches ou d'autres programmes de diagnostic de s'exécuter).
  • Le gestionnaire de tâches affiche un processeur élevé lorsque vous pensez que votre ordinateur doit être inactif (par exemple, <5%).
  • Des publicités surgissent au hasard.
  • Avertissements de virus apparaissant sur un antivirus dont vous ne vous rappelez pas l’installation (le programme antivirus est un faux et essaie de prétendre que vous avez des virus effrayants avec des noms tels que "bankpasswordstealer.vir". ).
  • Popups / Faux écran bleu de la mort (BSOD) vous demandant d'appeler un numéro pour corriger l'infection.
  • Les pages Internet redirigées ou bloquées, par exemple, les pages d'accueil de produits audiovisuels ou de sites d'assistance (www.symantec.com, www.avg.com, www.microsoft.com) sont redirigées vers des sites contenant des publicités ou des sites factices faisant la promotion de faux anti virus / outils de suppression "utiles", ou sont bloqués complètement.
  • Augmentation du temps de démarrage, lorsque vous n’avez pas installé d’applications (ou de correctifs) ... Celui-ci est maladroit.
  • Vos fichiers personnels sont cryptés et vous voyez une note de rançon.
  • Si vous ignorez votre système, vous savez généralement quand quelque chose ne va pas.

Comment puis-je m'en débarrasser?

Utiliser un CD Live

Étant donné que le scanner de virus du PC infecté peut être compromis, il est probablement plus sûr d'analyser le lecteur à partir d'un CD Live. Le CD démarrera un système d'exploitation spécialisé sur votre ordinateur, qui analysera ensuite le disque dur.

Il y a par exemple Avira Antivir Rescue System ou ubcd4win. Plus de suggestions peuvent être trouvées à Liste de téléchargement des CD de secours anti-virus bootables GRATUIT tel que:

  • Kaspersky Rescue CD
  • CD de secours BitDefender
  • CD de secours F-Secure
  • Avira Antivir Rescue Disk
  • CD Trinity Rescue Kit
  • CD de secours AVG

Connecter le disque dur à un autre PC

Si vous connectez le disque dur infecté à un système propre pour le scanner, assurez-vous de mettre à jour les définitions de virus pour tous les produits que vous utiliserez pour analyser le lecteur infecté. Attendre une semaine pour permettre aux fournisseurs d'antivirus de publier de nouvelles définitions de virus peut améliorer vos chances de détecter tous les virus.

Assurez-vous que votre système infecté reste déconnecté d'Internet dès que vous constatez qu'il est infecté. Cela l'empêchera de télécharger de nouvelles éditions de virus (entre autres).

Commencez avec un bon outil tel que Spybot Search and Destroy ou Malwarebytes Anti-Malware et effectuez une analyse complète. Essayez aussi ComboFix, et SuperAntiSpyware. Aucun produit antivirus ne contiendra chaque définition de virus. L'utilisation de plusieurs produits est la clé (pas pour une protection en temps réel). S'il ne reste qu'un seul virus sur le système, il peut être en mesure de télécharger et d'installer toutes les dernières éditions de nouveaux virus et tout ce qui a été fait jusqu'à présent n'aurait servi à rien.

Supprimer les programmes suspects du démarrage

  1. Démarrez en mode sans échec.
  2. Utilisation msconfig pour déterminer quels programmes et services démarrent au démarrage (ou démarrage sous le gestionnaire de tâches dans Windows 8).
  3. Si des programmes / services sont suspects, supprimez-les du démarrage. Sinon, passez directement à un CD en direct.
  4. Redémarrer.
  5. Si les symptômes ne disparaissent pas et / ou si le programme se remplace au démarrage, essayez d'utiliser un programme appelé Autoruns pour trouver le programme et le supprimer de là. Si votre ordinateur ne peut pas démarrer, Autoruns dispose d'une fonctionnalité permettant de l'exécuter à partir d'un second PC appelé "Analyser le PC hors ligne". Portez une attention particulière à la Logon et Scheduled tasks onglets.
  6. Si vous ne parvenez toujours pas à supprimer le programme et que vous êtes sûr qu’il est la cause de vos problèmes, démarrez en mode normal et installez un outil appelé Débloquer
  7. Naviguez jusqu'à l'emplacement du fichier correspondant à ce virus et essayez d'utiliser le déverrouillage pour le tuer. Quelques choses peuvent arriver:
    1. Le fichier est supprimé et ne réapparaît pas au redémarrage. C'est le meilleur cas.
    2. Le fichier est supprimé mais réapparaît immédiatement. Dans ce cas, utilisez un programme appelé Process Monitor pour trouver le programme qui a recréé le fichier. Vous devrez également supprimer ce programme.
    3. Le fichier ne peut pas être supprimé, unlocker vous invitera à le supprimer au redémarrage. Faites cela et voyez si cela réapparaît. Si c'est le cas, vous devez avoir un programme au démarrage qui provoque cela et réexaminer la liste des programmes qui s'exécutent au démarrage.

Que faire après restauration

Maintenant, il devrait être sûr (espérons-le) de démarrer dans votre système (précédemment) infecté. Cependant, gardez les yeux ouverts pour des signes d'infection. Un virus peut laisser des modifications sur un ordinateur, ce qui facilite la réinfection, même après la suppression du virus.

Par exemple, si un virus modifiait les paramètres de DNS ou de proxy, votre ordinateur vous redirigeait vers de fausses versions de sites Web légitimes, de sorte que le téléchargement de ce qui semble être un programme reconnu et fiable puisse effectivement télécharger un virus.

Ils pourraient également obtenir vos mots de passe en vous redirigeant vers de faux sites de comptes bancaires ou de faux sites de courrier électronique. Assurez-vous de vérifier vos paramètres DNS et proxy. Dans la plupart des cas, votre DNS doit être fourni par votre fournisseur de services Internet ou automatiquement acquis par DHCP. Vos paramètres de proxy doivent être désactivés.

Vérifier votre hosts fichier (\%systemroot%\system32\drivers\etc\hosts) pour toutes les entrées suspectes et les supprimer immédiatement. Assurez-vous également que votre pare-feu est activé et que vous disposez de toutes les dernières mises à jour Windows.

Ensuite, protégez votre système avec un bon antivirus et complétez-le avec un produit anti-malware. Microsoft Security Essentials est souvent recommandé avec d'autres produits.

Que faire si tout échoue

Il convient de noter que certains logiciels malveillants sont très efficaces pour éviter les scanners. Il est possible qu'une fois infecté, il puisse installer rootkits ou similaire pour rester invisible. Si les choses sont vraiment mauvaises, la seule option consiste à effacer le disque et à réinstaller le système d'exploitation à partir de zéro. Parfois, un scan utilisant GMER ou Kaspersky Tueur TDSS peut vous montrer si vous avez un rootkit.

Vous voudrez peut-être faire quelques exécutions de Spybot Search and Destroy. Si après trois exécutions, il ne parvient pas à supprimer une infestation (et que vous ne le faites pas manuellement), envisagez une réinstallation.

Une autre suggestion: Combofix est un outil de suppression très puissant lorsque les rootkits empêchent d'autres opérations de s'exécuter ou d'installer.

L'utilisation de plusieurs moteurs d'analyse peut certainement aider à trouver les malwares les mieux cachés, mais c'est une tâche fastidieuse et une bonne stratégie de sauvegarde / restauration sera plus efficace et sécurisée.


Bonus: Il y a une série de vidéos intéressantes commençant par "Comprendre et combattre les logiciels malveillants: virus, logiciels espions " avec Mark Russinovich, le créateur de Sysinternals ProcessExplorer & Autoruns, sur le nettoyage des logiciels malveillants.


197



Essuyer le lecteur est souvent la voie la plus rapide et la plus sûre, comme cela est suggéré sur tout le site en tant que "meilleure réponse". - Ivo Flipse♦
D'après mon expérience, je ne ferais pas confiance à spybot comme premier choix. Avira, Kaspersky Virus Removal Tool et AVG sont un bon choix en fonction de la comparaison AV av-comparatives.org & AV-Test.org: blogs.pcmag.com/securitywatch/2009/12/ - fluxtendu
Une suggestion est que beaucoup de ces programmes malveillants faire voler des mots de passe et des données bancaires, ce n'est pas une mauvaise idée de se déconnecter d'Internet une fois que vous êtes devenu suspect d'une infection. Il se peut très bien qu'il soit trop tard, mais vous risquez de limiter les fuites de données ou d'empêcher le programme malveillant de se mettre à jour jusqu'à ce que vous réussissiez votre nettoyage. - emgee
@emgee Bonne règle en matière d'exfiltration de données: en cas de doute, retirez-la (la prise Ethernet) - Nate Koppenhaver
Combofix.org n'est pas l'emplacement de téléchargement officiel de Combofix et n'est pas autorisé ou recommandé par l'auteur de Combofix. Le téléchargement officiel est ici. - Andrew Lambert


Il y a de bons conseils pour lutter contre les logiciels malveillants dans Jeff Atwood "Comment nettoyer une infestation de logiciels espions Windows". Voici le processus de base (assurez-vous de lire le blog pour les captures d'écran et autres détails que ce résumé résume):

  1. Arrêtez tout logiciel espion en cours d'exécution. Le gestionnaire de tâches intégré à Windows ne le coupera pas; obtenir Sysinternals Process Explorer.
    1. Exécutez Process Explorer.
    2. Triez la liste de processus par nom de société.
    3. Supprimez tous les processus qui n'ont pas de nom de société (à l'exception des processus DPC, des interruptions, du système et des processus inactifs) ou des noms de société que vous ne reconnaissez pas.
  2. Arrêtez le redémarrage du logiciel espion au prochain démarrage du système. Encore une fois, l'outil intégré de Windows, MSconfig, est une solution partielle, mais Sysinternals AutoRuns est l'outil à utiliser.
    1. Exécuter AutoRuns.
    2. Parcourez toute la liste. Décochez les entrées suspectes - celles avec des noms d'éditeurs vierges ou tout nom d'éditeur que vous ne reconnaissez pas.
  3. Maintenant redémarrez.
  4. Après le redémarrage, revérifiez avec Process Explorer et AutoRuns. Si quelque chose "revient", vous devrez creuser plus profondément.
    • Dans l’exemple de Jeff, une entrée de pilote suspecte dans AutoRuns a été rapportée. Il parle en suivant le processus qui l'a chargé dans Process Explorer, en fermant le handle et en supprimant physiquement le pilote malveillant.
    • Il a également trouvé un fichier DLL dont le nom est étrange et qui s'intègre dans le processus Winlogon, et montre comment trouver et supprimer les threads de processus chargeant cette DLL afin que les exécutions automatiques puissent enfin supprimer les entrées.

86



En outre, Trend Micro HijackThis est un utilitaire gratuit qui génère un rapport détaillé sur les paramètres de registre et de fichier de votre ordinateur. Je vous préviens que cela trouve de bonnes et de mauvaises choses, et ne fait aucune distinction, mais Google est notre ami si nous sommes méfiants. - Umber Ferrule
Le lien Sysinternals Process Explorer est mort. Ces réponses sont sur certains résultats Google. Quelqu'un peut-il mettre à jour cela avec un lien mis à jour? Je le cherche aussi. - Malavos
Autoruns est fantastique, mais la suggestion de s'appuyer sur l'éditeur peut ne pas être utile. Cette question de stackoverflow montre comment les informations de version peuvent être facilement modifiées (et donc usurpées) [stackoverflow.com/questions/284258/.... J'ai essayé ceci sur une DLL Java et Autoruns a montré l'éditeur de manière incorrecte. - AlainD
votre lien autorun systernals est cassé - Daniel


Ma façon de supprimer les logiciels malveillants est efficace et je ne l'ai jamais vue échouer:

  1. Télécharger Autoruns et si vous exécutez toujours le téléchargement 32 bits d'un scanner de rootkit.
  2. Démarrez en mode sans échec et démarrez Autoruns si vous le pouvez, puis passez à l'étape 5.
  3. Si vous ne pouvez pas accéder au mode sans échec, connectez le disque à un autre ordinateur.
  4. Démarrez Autoruns sur cet ordinateur, allez dans Fichier -> Analyser le système hors ligne et remplissez-le.
  5. Attendez que l'analyse soit effectuée.
  6. Dans le menu Options, sélectionnez tout.
  7. Laissez-le scanner à nouveau en appuyant sur F5. Cela ira vite que les choses sont mises en cache.
  8. Parcourez la liste et décochez tout ce qui est malicieux ou n’a pas de société vérifiée.
  9. Optionnel: Exécutez le scanner de rootkit.
  10. Laissez un analyseur de virus supérieur supprimer tous les fichiers restants.
  11. Optionnel: Exécuter des scanneurs anti-malware et anti-spyware pour se débarrasser des ordures.
  12. Optionnel: Exécutez des outils tels que HijackThis / OTL / ComboFix pour vous débarrasser des fichiers indésirables.
  13. Redémarrez et profitez de votre système propre.
  14. Optionnel: Exécutez à nouveau le scanner de rootkit.
  15. Assurez-vous que votre ordinateur est suffisamment protégé!

Quelques remarques:

  • Autoruns est écrit par Microsoft et affiche ainsi tous les emplacements de choses qui démarrent automatiquement ...
  • Une fois le logiciel non contrôlé par Autoruns, il ne démarrera pas et ne pourra pas vous empêcher de le supprimer ...
  • Il n’existe pas de rootkits pour les systèmes d’exploitation 64 bits car ils doivent être signés ...

Il est efficace car il désactive le démarrage des logiciels malveillants / spywares / virus,
vous êtes libre d'exécuter des outils facultatifs pour nettoyer les fichiers indésirables restants sur votre système.


49





Suivez l'ordre ci-dessous pour désinfecter votre PC

  1. Sur un PC non infecté, créez un disque AV, démarrez à partir du disque sur le PC infecté et analysez le disque dur, supprimez toute infection détectée. Je préfère le Windows Defender hors ligne démarrer CD / USB car il peut supprimer les virus du secteur de démarrage, voir "Note" ci-dessous.

    Ou, vous pouvez essayer quelques autres disques de démarrage AV.

  2. Après avoir analysé et supprimé les logiciels malveillants à l'aide du disque de démarrage, installez gratuitement MBAM, lancez le programme et accédez à l'onglet Mise à jour et mettez-le à jour, puis accédez à l'onglet Scanner et effectuez une analyse rapide, sélectionnez et supprimez tout ce qu'il trouve.

  3. Lorsque MBAM est terminé, installez SAS version gratuite, lancez une analyse rapide, supprimez ce qu'il sélectionne automatiquement.

  4. Si les fichiers du système Windows ont été infectés vous devrez peut-être exécuter SFC pour remplacer les fichiers, vous devrez peut-être le faire hors ligne s'il ne démarre pas en raison de la suppression des fichiers système infectés. Je vous recommande de lancer SFC après la suppression de toute infection.

  5. Dans certains cas, vous devrez peut-être exécuter une réparation au démarrage (Windows Vista et Windows7 uniquement) pour le redémarrer correctement. Dans les cas extrêmes, 3 réparations de démarrage consécutives peuvent être nécessaires.

MBAM et SAS ne sont pas des logiciels AV tels que Norton. Ils sont des analyseurs à la demande qui ne recherchent que des logiciels malveillants lorsque vous exécutez le programme et n’interfèrent pas avec votre AV installé. Assurez-vous de les mettre à jour avant chaque analyse hebdomadaire.

Remarque: le produit Windows Defender Offline est très efficace pour supprimer infections persistantes par MBR qui sont communs ces jours-ci.

.

Pour les utilisateurs avancés:

Si vous avez une seule infection qui se représente en tant que logiciel, à savoir "System Fix" "AV Security 2012" etc., voir cette page pour des guides de suppression spécifiques

.


44



Avoir un deuxième PC dédié à l'analyse antivirus est probablement la meilleure solution, car vous ne dépendez pas du lecteur infecté pour votre système. Cependant, en dehors des sociétés d’assistance informatique, je doute que beaucoup de personnes disposent d’une solution aussi prête. - Gnoupi
Si aucun PC dédié n'est disponible, une procédure similaire peut être effectuée en démarrant le système avec un CD en direct. - Ophir Yoktan
@Ophir: Live CD? - Fahad Uddin
par exemple: http://distro.ibiblio.org/tinycorelinux/welcome.html - Ophir Yoktan
Juste comme note le Balayeuse de système autonome Microsoft est juste l'ancien nom de Windows Defender Offline, au cas où quelqu'un le trouverait également. - Scott Chamberlain


Si vous remarquez l'un des symptômes, les paramètres DNS de votre connexion réseau doivent être vérifiés.

Si ceux-ci ont été modifiés à partir de "Obtenir l'adresse du serveur DNS automatiquement" ou à un serveur différent de celui qu'il devrait être, alors c'est un bon signe que vous avez une infection. Ce sera la cause des redirections à partir des sites anti-malware, ou un échec complet à atteindre le site du tout.

C'est probablement une bonne idée de prendre note de vos paramètres DNS avant qu'une infection ne se produise afin que vous sachiez ce qu'ils devraient être. Les détails seront également disponibles sur les pages d'aide du site Web de votre fournisseur de services Internet.

Si vous ne connaissez pas les serveurs DNS et que vous ne trouvez pas les informations sur votre site ISP, utiliser les serveurs DNS Google est une bonne alternative. Ils se trouvent respectivement dans 8.8.8.8 et 8.8.4.4 pour les serveurs primaire et secondaire.

Bien que la réinitialisation du DNS ne résoudra pas le problème, vous pourrez a) atteindre les sites anti-malware pour obtenir le logiciel dont vous avez besoin pour nettoyer le PC et b) le détecter si l'infection se reproduisait à nouveau.


35





Les solutions possibles pour une infection virale sont dans l'ordre: (1) analyses antivirus, (2) réparation du système, (3) réinstallation totale.

Assurez-vous d'abord que toutes vos données sont sauvegardées.

Chargez et installez certains antivirus, assurez-vous qu'ils sont à jour et analysez profondément votre disque dur. Je recommande d'utiliser au moins Malwarebytes Anti-Malware. J'aime aussi Avast.

Si cela ne fonctionne pas pour une raison quelconque, vous pouvez utiliser un scanner de virus de CD de secours en direct: J'aime mieux Système de secours Avira AntiVir car il est mis à jour plusieurs fois par jour et le CD de téléchargement est à jour. En tant que CD de démarrage, il est autonome et ne fonctionne pas avec votre système Windows.

Si aucun virus n'est trouvé, utilisez "sfc / scannow" pour réparer les fichiers Windows importants.
Regarde ça article.

Si cela ne fonctionne pas non plus, vous devriez Effectuer une installation de réparation.

Si rien ne fonctionne, vous devez formater le disque dur et réinstaller Windows.


31



Lorsque j'ai été infecté par un virus / cheval de Troie récent, j'ai utilisé Knoppix sur une clé USB, lancé apt-get wine, installé Dr Web Cure-It dans ma session Wine et l'ai lancé pour nettoyer mon infection. Je devais le faire de cette façon parce que mon ordinateur portable ne démarrerait pas certaines des autres alternatives de CD live. - PP.


Il existe une grande variété de logiciels malveillants. Certains sont triviaux à trouver et à supprimer. Certains sont plus difficiles. Certains sont très difficiles à trouver et très difficiles à supprimer.

Mais même si vous avez un logiciel malveillant léger, vous devriez envisager sérieusement de reformater et de réinstaller le système d'exploitation. Cela est dû au fait que votre sécurité a déjà échoué et que, en cas d’échec pour un logiciel malveillant simple, vous êtes peut-être déjà infecté par un malware malveillant.

Les personnes travaillant avec des données sensibles ou à l'intérieur de réseaux sur lesquels des données sensibles sont conservées devraient envisager de les effacer et de les réinstaller. Les personnes dont le temps est précieux devraient fortement envisager de les effacer et de les réinstaller (méthode la plus rapide, la plus simple et la plus sûre). Les personnes qui ne sont pas à l'aise avec les outils avancés doivent fortement envisager de les effacer et de les réinstaller.

Mais les gens qui ont le temps et qui aiment le noodling peuvent essayer les méthodes énumérées dans d’autres articles.


30



Correct. Ce produit est conçu pour contourner les problèmes de sécurité et de nettoyage et d’utilisation du système d’exploitation. Ne participez pas à une course aux armements. La tolérance zéro est la seule politique. - XTL


Ransomware

Une nouvelle forme de malware particulièrement horrible est ransomware. Ce type de programme, généralement livré avec un cheval de Troie (par exemple, pièce jointe à un courrier électronique) ou un navigateur, parcourt les fichiers de votre ordinateur, les crypte (ce qui les rend totalement méconnaissables et inutilisables) et exige une rançon pour les rendre utilisables. Etat.

Ransomware utilise généralement cryptographie à clé asymétrique, qui implique deux clés: le Clé publique et le Clé privée. Lorsque vous êtes touché par un ransomware, le programme malveillant exécuté sur votre ordinateur se connecte au serveur malveillant (la commande et le contrôle), qui génère les deux clés. Il envoie uniquement la clé publique aux logiciels malveillants sur votre ordinateur, car c'est tout ce dont il a besoin pour crypter les fichiers. Malheureusement, les fichiers ne peuvent être déchiffrés qu'avec la clé privée, qui n'entre jamais dans la mémoire de votre ordinateur si le ransomware est bien écrit. Les méchants déclarent généralement qu'ils vous donneront la clé privée (vous permettant ainsi de déchiffrer vos fichiers) si vous payez, mais vous devez bien sûr leur faire confiance.

Ce que tu peux faire

La meilleure option consiste à réinstaller le système d'exploitation (pour supprimer toute trace de logiciel malveillant) et à restaurer vos fichiers personnels à partir de sauvegardes effectuées précédemment. Si vous ne disposez pas de sauvegardes maintenant, cela sera plus difficile. Prenez l'habitude de sauvegarder les fichiers importants.

Le paiement vous permettra probablement de récupérer vos fichiers, mais s'il vous plaît ne pas. Cela soutient leur modèle d'entreprise. Aussi, je dis "probablement vous laisser récupérer" parce que je connais au moins deux souches si mal écrites qu'elles gênent irrémédiablement vos fichiers; même le programme de décryptage correspondant ne fonctionne pas réellement.

Des alternatives

Heureusement, il existe une troisième option. De nombreux développeurs de ransomwares ont commis des erreurs qui permettent aux professionnels de la sécurité de développer des processus qui annulent les dommages. Le processus à suivre dépend entièrement de la ransomware, et cette liste change constamment. Certaines personnes merveilleuses ont mis ensemble une grande liste de variantes de ransomware, y compris les extensions appliquées aux fichiers verrouillés et le nom de la note de rançon, ce qui peut vous aider à identifier la version que vous avez. Pour un certain nombre de souches, cette liste contient également un lien vers un décrypteur gratuit! Suivez les instructions appropriées (les liens sont dans la colonne Decryptor) pour récupérer vos fichiers. Avant que tu commences, utilisez les autres réponses à cette question pour vous assurer que le programme ransomware est supprimé de votre ordinateur.

Si vous ne parvenez pas à identifier ce que vous avez reçu avec seulement le nom des extensions et de la note de rançon, essayez de rechercher sur Internet quelques phrases distinctives de la note de rançon. Les fautes d'orthographe ou de grammaire sont généralement assez uniques, et vous rencontrerez probablement un fil de discussion qui identifie le ransomware.

Si votre version n'est pas encore connue ou si elle ne dispose pas d'un moyen gratuit pour décrypter les fichiers, ne perdez pas espoir! Les chercheurs en sécurité travaillent à défaire les ransomwares et les forces de l'ordre poursuivent les développeurs. Il est possible qu'un décrypteur apparaisse éventuellement. Si la rançon est limitée dans le temps, il est concevable que vos fichiers soient toujours récupérables lors du développement du correctif. Même si non, s'il vous plaît ne payez pas sauf si vous devez absolument. Pendant que vous attendez, assurez-vous que votre ordinateur est exempt de logiciels malveillants, en utilisant à nouveau les autres réponses à cette question. Pensez à sauvegarder les versions chiffrées de vos fichiers pour les sécuriser jusqu'à la sortie du correctif.

Une fois que vous récupérez autant que possible (et en faites des sauvegardes sur un support externe!), Envisagez fortement d'installer le système d'exploitation à partir de zéro. Encore une fois, cela va éliminer tous les logiciels malveillants qui se sont logés au plus profond du système.

Conseils supplémentaires spécifiques aux variantes

Quelques astuces spécifiques aux variantes de ransomware qui ne figurent pas encore dans la grande feuille de calcul:

  • Si l'outil de décryptage pour LeChiffre ne fonctionne pas, vous pouvez récupérer toutes les données de chaque fichier, à l'exception du premier et du dernier, à l'aide d'un éditeur hexadécimal. Aller à l'adresse 0x2000 et copier tous les octets sauf les derniers 0x2000. Les petits fichiers seront complètement détruits, mais avec un peu de bidouillage, vous pourrez peut-être obtenir quelque chose d’aide pour les plus gros.
  • Si vous avez été touché par WannaCrypt et que vous utilisez Windows XP, que vous n'avez pas redémarré depuis l'infection et que vous avez de la chance, vous pourrez peut-être extraire la clé privée avec Wannakey.
  • (d'autres seront ajoutés à mesure qu'ils seront découverts)

Conclusion

Ransomware est méchant, et la triste réalité est qu'il n'est pas toujours possible de s'en remettre. Pour rester en sécurité à l'avenir:

  • Gardez votre système d'exploitation, votre navigateur Web et votre antivirus à jour
  • N'ouvrez pas les pièces jointes que vous n'attendiez pas, surtout si vous ne connaissez pas l'expéditeur
  • Évitez les sites Web incomplets (c.-à-d. Ceux comportant un contenu illégal ou éthiquement douteux)
  • Assurez-vous que votre compte a uniquement accès aux documents avec lesquels vous devez travailler personnellement
  • Toujours avoir sauvegardes de travail sur un support externe (non connecté à votre ordinateur)!

28



Il existe maintenant quelques programmes qui vous protègent contre les ransomwares, par exemple: winpatrol.com/WinAntiRansom (un programme commercial). Je ne l'ai jamais utilisé car je ne suis plus sous Windows, mais le produit WinPatrol de cette société est celui que j'utilise depuis des années et que j'ai fréquemment recommandé. Quelques développeurs d’antivirus disposent d’outils anti-ransomware, parfois en option. - fixer1234
Pour plus d'informations sur la suppression de Petya ransomware, consultez également cette question et répondez: superuser.com/questions/1063695/ - fixer1234
J'ajouterais un autre élément à la liste de conseils dans la conclusion: Évitez de visiter des sites qui encouragent un comportement illégal ou amoral, tels que le piratage des médias et des logiciels; contenu interdit dans la plupart des régions du monde; etc. Ces sites contractent souvent avec le moins fournisseurs de publicité réputés, qui ne font aucun effort pour filtrer le contenu de leurs «annonces», permettant aux criminels d’injecter facilement votre page Web avec du contenu malveillant ou des tentatives d’exploitation de votre navigateur pour accéder à votre système. Parfois, même un bon adblocker manquera ce genre de choses. - allquixotic
@allquicatic J'ai ajouté une puce dans cette veine. Faites-moi savoir si quelque chose d'autre peut être élargi. Merci! - Ben N


Un autre outil que je voudrais ajouter à la discussion est le Scanner de sécurité Microsoft. Il vient de sortir il y a quelques mois. C'est un peu comme le Outil de suppression de logiciels malveillants, mais conçu pour une utilisation hors ligne. Il aura les dernières définitions au moment de son téléchargement et ne sera utilisable que pendant 10 jours car il considérera son fichier de définitions "trop ​​ancien pour être utilisé". Téléchargez-le avec un autre ordinateur et lancez-le en mode sans échec. Ça marche plutôt bien.


24