web-dev-qa-db-fra.com

Comment puis-je réparer un ordinateur infecté par des malwares et extrêmement silencieux?

doublon possible:
Comment puis-je me débarrasser des logiciels espions, des logiciels malveillants, des logiciels malveillants, des virus ou des rootkits sur mon PC?

Je dépanne un ordinateur Windows 7 pour un ami. Il y a quelques jours, il a commencé à fonctionner "lentement". Il s’avère que "lent" est à environ 15 minutes pour le premier aperçu du bureau, et un autre 30 pour afficher des icônes. Il est possible d’ouvrir le Gestionnaire des tâches et rien ne semble anormal, utilisation du processeur de 1 à 5%, beaucoup de mémoire disponible.

La machine est clairement infestée de logiciels malveillants, cependant, notamment un programme appelé "Optimizer Pro" exige de l’argent pour "supprimer 5102 fichiers ralentissant mon ordinateur". Cela semble très suspect.

Cependant, mon problème est que je ne peux pas accéder à msconfig (je l’ai laissée quelques heures après l’avoir tapé dans le menu Démarrer et appuyé sur Entrée - rien ne semble avoir été chargé), ou quoi que ce soit du tout. Je peux démarrer à partir d’un Linux Live CD, mais puis-je réellement faire quelque chose d’utile à partir de là?

La restauration du système ne le résout pas non plus, et le mode sans échec présente le même comportement.

102
fredley

Je recommande de réinstaller Windows

Si vous essayez de récupérer l’installation existante, vous finirez par y passer des heures, voire des journées de travail, sans rien avoir à montrer pour vos efforts. Et même si vous pouviez exécuter avec succès tous les outils de suppression des logiciels malveillants, je ne serais pas convaincu que tous les logiciels malveillants avaient été supprimés, car, par définition, les auteurs ont toujours une longueur d'avance sur les auteurs de suppression de logiciels malveillants. Une fois infectée, cette machine est probablement chargée de toutes sortes de mauvaises choses.

Alors...

  1. Formater le disque dur
  2. Installer Windows

Et, comme l’a suggéré l’un des commentateurs, vous devez supposer que tous les fichiers et toutes les données de l’ancienne installation sont infectés et ne doivent pas être approuvés.

245
HairOfTheDog

Différents fournisseurs d’antivirus disposent de CD-ROM de secours/d’analyse amorçables. Deux gratuits sont:

Kaspersky Rescue Disk 10

Kaspersky Rescue Disk 10 est conçu pour analyser et désinfecter les ordinateurs infectés compatibles x86 et x64.

L'application doit être utilisée lorsque l'infection est tellement grave qu'il est impossible de désinfecter l'ordinateur à l'aide d'applications antivirus ou d'utilitaires de suppression de logiciels malveillants (tels que Kaspersky Virus Removal Tool) s'exécutant sous le système d'exploitation.

AVG Rescue CD

AVG Rescue CD Sauvegardez rapidement votre entreprise en cas de panne du système.

Supprime les infections, répare les fichiers et récupère les systèmes.

57
Brian

Je vais faire un saut ici et demander d’abord plus à ce sujet, puis publier mes hypothèses sur l’ordinateur. Vous avez dit que cela n'utilise que 1 à 5% de la CPU, mais que ça avance toujours lentement? Bien que je ne dise pas qu'il n'est pas criblé de virus ou quoi que ce soit parce que cela pourrait très bien être, je tiens à souligner que cela crie du matériel défectueux pour moi. La prochaine fois que vous ouvrirez le gestionnaire de tâches, allez consulter le moniteur de ressources. Voici un guide simple pour utiliser le moniteur de ressources.

http://www.pcworld.com/article/241677/how_to_use_resource_monitor.html

Ouvrez le gestionnaire de tâches et accédez à l'onglet Performances. En bas se trouve un bouton pour le moniteur de ressources. Une fois celui-ci ouvert, consultez l'onglet Disque en haut et regardez le temps que prennent les demandes. En regardant mon ordinateur et l'image d'ordinateur trouvée sur ce site, je vais deviner que pour un lecteur non SSD, les temps de réponse inférieurs à 100 millisecondes semblent être ce que vous recherchez. Si l'ordinateur a plus de 1 seconde de temps de réponse pour tout, votre ordinateur sera lent, quel que soit le processus de démarrage. Commentez ici et laissez-nous savoir si le temps de réponse du disque est lent. Si c'est le cas, vous pouvez essayer d'exécuter un disque de vérification sur le lecteur et attendre indéfiniment qu'il se termine pour voir si cela résout le problème.

N'oubliez pas que cela peut ne pas être le problème, mais si c'est le cas, la réinstallation de Windows ou l'exécution d'un scan antivirus ne résoudront pas le problème.

31
Bob

Pour ajouter mes idées au mélange ...

Essayez de retirer le disque dur incriminé et de le brancher sur un chariot externe, puis branchez-le sur un PC en état de fonctionnement. Vous pouvez ensuite vérifier le disque, exécuter des contrôles anti-virus/malware, defrag, etc.

En outre, récupérez ce que vous pouvez des fichiers dont vous avez besoin (en prenant soin de ne rien copier qui pourrait potentiellement infecter un autre PC. Assurez-vous bien que le PC hôte dispose d’une bonne protection avant de le faire.

Si, après avoir remis le disque dur en place et qu'il fonctionne toujours mal, j'envisage de réinstaller Windows. Le temps nécessaire pour essayer de résoudre d’autres problèmes ne vaudra pas la peine.

30
Lee Taylor

Si vous pouvez démarrer en mode sans échec, je le ferais.

  • Malwarebytes antimalware est un excellent programme gratuit, comme mentionné ci-dessus, qui vient de publier un programme antirootkit, bien que la version bêta soit disponible.

  • Je suis également fan de DR Web Cureit Free Antivirus (analyse à la demande)

  • Le CD de démarrage de Hiren est probablement l'un des CD de programmes de démarrage les plus complets

  • Il est possible que votre ordinateur soit gravement fragmenté et nécessite une défragmentation. Dans ce cas, je recommande Ultradefrag Free Edition .

  • Ccleaner pour nettoyer toutes les ordures de votre système

Tout ce qui précède ne vous coûtera pas un centime non plus.

Whinston Gordon a récemment écrit un excellent article sur Lifehacker, le 6 novembre 2012, dans lequel je pense qu'il serait bénéfique pour tous et intitulé "= Les hypothèses que vous faites de votre lent PC (et pourquoi ils sont probablement faux) " . J'espère que vous trouverez une lecture intéressante!

12
Simon

Téléchargez et démarrez n'importe quelle distribution Linux live pour vérifier si la machine est handicapée (RAM défectueuse, disque dur défectueux, ...) ou s'il s'agit d'une installation trop ancienne de Windows (éventuellement une attaque de virus). En cas d'attaque de virus, vous pouvez télécharger http://free.drweb.com/ un CD live amorçable avec un antivirus pour vous assurer que votre ordinateur est propre. . Le scanner gratuit drweb nous met à jour plusieurs fois par jour, ce qui lui permet de détecter et de réparer les codes malveillants les plus récents.

11
andrej

À la fin de la journée, je pense toujours que la réponse du responsable du chien est probablement la "meilleure" solution.

Par contre, laisser un problème tel quel, n’est probablement pas la façon de faire les choses.

Ceci est vraiment une version condensée de certaines des réponses précédentes, avec quelques observations supplémentaires.

D'après mon expérience, les disques durs sont une raison majeure pour ralentir les ordinateurs. Ce sont des appareils bizarres avec de nombreux modes d'échec et d'erreur. Il y a d'autres raisons qui valent la peine d'être examinées

Démarrer sur un cd générique linux générique est très utile dans ce cas. Il y a deux choses que vous voulez faire lorsque vous étudiez de possibles problèmes de conduite. Tout d’abord, vous voulez demander au lecteur s’il est correct - smartmontools (ou son interface graphique, gsmartcontrol) est très bonne ici. Vous voulez des résultats généralement "sains". Pendant que vous y êtes, vous pouvez également exécuter plusieurs fois hdparm -Tt /dev/sdXx pour obtenir un résultat de référence de la vitesse du disque. Exécutez la même commande sur un disque sain et assez similaire pour voir si sa vitesse est vraiment plus lente.

Je suggère également de faire la récupération au niveau du fichier à ce stade. Un disque mal monté ne montera pas automatiquement sous Linux - vous devrez créer un mount -f /dev/SDXx /mount/point pour le forcer à monter. Si le disque est visiblement endommagé par smartmontools, utilisez une variante DD centrée sur la récupération pour effectuer une sauvegarde - Gnu ddrescue est un bon choix. Cela créera une image en ignorant les secteurs défectueux

En supposant que le disque est ok, ça devient compliqué. Vous pourriez probablement exécuter une analyse AV hors ligne pour essayer de la nettoyer, puis l'insérer dans un autre système pour en assurer la maintenance.

Vous pouvez également monter la ruche de registre d’un autre système Windows pour modifier manuellement les entrées de démarrage (le moment idéal pour effectuer une vérification antivirus à partir d’un système Windows et effectuer une défragmentation) ou utiliser l’éditeur de registre hors ligne . Disque de changement de mot de passe en supposant que vous savez ce que vous cherchez.

Si nous effectuons des activités liées à la récupération/réparation à l'aide d'outils Windows, vous pouvez envisager de créer un disque PE (si vous ne voulez pas utiliser un disque actif basé sur XP), ou d'utiliser un disque séparé, ' "jetable" pour ces tâches afin de réduire le risque de contamination croisée par des logiciels malveillants.

À ce stade, vous DEVEZ avoir déterminé si le disque est lent, s'il s'agit d'un logiciel malveillant et si vous pensez que cela vaut la peine de le réparer. Vous auriez également dû obtenir vos données. Si ses logiciels malveillants, ainsi que les analyses hors connexion et les enregistrements en différé échouent, vous pouvez exécuter shred à partir du livecd pour nettoyer le disque. Si sa défaillance matérielle, vous pouvez restaurer à partir de cette sauvegarde DD. Si rien de tout cela, les choses deviennent intéressantes

8
Journeyman Geek

Le meilleur outil que j'ai utilisé est Malwarebytes . Je l'ai utilisé quand j'ai travaillé dans l'informatique il y a quelques années. De plus, Kaspersky est bon, tout comme AVG (comme suggéré ci-dessus), ou une combinaison de tous.

Une autre bonne option, qui inclut l’image en direct de Malwarebytes, est le BootCD de Hiren ( ) (lien direct Télécharger).

8
nerdwaller

Hiren est votre ami.

http://www.hirensbootcd.org/download/

Téléchargez-le, gravez-le, démarrez-le à partir d'un ordinateur lent.

Il existe une série d'outils permettant de vérifier les erreurs, notamment le disque dur, le processeur, la mémoire, etc.

Exécutez-en quelques-unes pour voir ce que vous trouvez.

Certains programmes de sécurité vous permettent également de faire un scan AV/Malware.

Hautement recommandé.

5
Luiz Angelo

Avez-vous vérifié vos disques durs? Peut-être que certains secteurs sont défectueux, ce qui retarde considérablement l'accès à certains fichiers. Essayez d’exécuter chkdsk /r en mode sans échec (ou utilisez un autre outil de réparation de disque).

2
yinch3ng

Au moins, ce malware ralentit le PC d’une manière respectueuse de l’environnement et ne maximise pas le nombre de processeurs!

La réponse courte à la question initiale est de réinstaller comme mentionné précédemment. Cependant, de nos jours, les auteurs de programmes malveillants savent que la plupart des gens réinstallent au lieu de tenter de les supprimer. Par conséquent, la plupart ne prennent que des contre-mesures contre les outils automatisés et non avec une personne compétente du terminal. Par conséquent, si une réinstallation n’est pas souhaitable et que perdre du temps pendant quelques heures (ou plus) ne vous dérange pas, il n’est généralement pas difficile de supprimer la plupart des programmes malveillants.

Toutefois, vous devez connaître la commande Invite et savoir distinguer les logiciels malveillants des logiciels légitimes. Ici, rien ne remplace l'expérience, mais j'ai trouvé l'approche ci-dessous efficace.

Tout d'abord préparer l'environnement:

  1. Sur un autre ordinateur vierge, téléchargez une copie de Sysinternals Suite et copiez-la sur une clé USB (ou directement sur le disque dur de l'ordinateur, si possible).
  2. Renommez deux des utilitaires, procexp.exe et autoruns.exe, en noms de fichiers aléatoires (mais notez-les pour les reconnaître!)
  3. Déconnectez toutes les connexions réseau.
  4. Démarrez l'ordinateur en mode sans échec, accédez au bureau. Le mode sans échec n’est pas essentiel, mais cela aide car il y aura moins de processus en cours d'exécution et les logiciels malveillants devraient se distinguer plus facilement. L'utilisation d'un profil d'utilisateur vierge peut également aider pour la même raison, mais cela peut masquer votre infection car il y a probablement des entrées dans le registre de l'utilisateur.
  5. Ouvrez une invite de commande en tant qu'administrateur et exécutez taskkill /F /IM Explorer.exe pour tuer Explorer. Cela arrête une bonne quantité de logiciels malveillants, facilitant ainsi leur suppression. Si vous ne pouvez pas exécuter la commande Invite, une copie renommée depuis un autre PC peut être efficace (vous pouvez parfois vous en sortir en faisant simplement une copie sur le même ordinateur).
  6. A partir de la commande Invite, lancez procexp et autoruns via les exécutables renommés. Notez qu’il est possible que des programmes malveillants détectent les hachages ou d’autres caractéristiques et vous empêchent de lancer ces outils, mais au moins le hachage ne serait pas une approche fiable, car ils sont mis à jour assez fréquemment. Habituellement, toutes les mesures correctives contre ces outils recherchent le nom du fichier.

À partir de là, vous pouvez utiliser autoruns et procexp pour supprimer les logiciels malveillants, mais il s’agit tout autant d’un art que d’une science. Procexp vous montre ce qui est en cours d’exécution, et autoruns vous explique comment il s’est lancé. Les modèles à rechercher sont:

  • Les noms de fichiers qui semblent générés aléatoirement
  • Logiciels exécutant des répertoires temporaires
  • Logiciel s'exécutant dans le profil de l'utilisateur. Avec Vista et les versions ultérieures, l’exécution de logiciels à partir du profil est devenue plus courante pour éviter les invites d’altitude, mais la plupart des logiciels légitimes s’installeront quand même dans Program Files. Etant donné que celui-ci a clairement un accès root, vous allez le rechercher dans les répertoires système, mais il pourrait y avoir un observateur et l’infection provient généralement du profil de l’utilisateur (téléchargements, fichiers Internet temporaires).
  • Fichiers récemment modifiés dans C:\Windows et System32
  • Noms proches des fichiers binaires Windows légitimes tels que cmd.exe, services.exe (ou les mêmes noms de fichiers, mais au mauvais emplacement). J'ai vu cnd.exe, service.exe. explore.exe dans mon temps.
  • Rundll32.exe entrées. Beaucoup sont légitimes, mais inspectez les processus pour voir quelles DLL sont chargées.

Conseils de suppression:

  • Il peut être utile de simplement rassembler des informations avant d'essayer de supprimer des processus et de supprimer des entrées - cela vous donne une vue d'ensemble plus holistique et il est plus efficace de prendre plusieurs étapes successives que de procéder de manière isolée, car les processus d'observation peuvent très rapidement vous ramène à l'étape 1.
  • Pour tout ce qui est évident, utilisez les fonctions kill et delete de procexp. Si cela échoue, il est parfois utile d'utiliser echo > "c:\path\to\malware.exe" dans la commande Invite pour effacer son fichier, suivi de kill et delete.
  • Utilisez les autoruns pour trouver où il est accroché. J'utilise cet outil car il semble être complet. À part un rootkit ou une modification des fichiers exécutables du système, les programmes malveillants ne disposent pas de beaucoup d'autres moyens, le cas échéant. Pour gagner du temps, utilisez l'option "Masquer les entrées Microsoft", désactivée par défaut.
  • Si vous trouvez un accrochage automatique qui charge une DLL avec chaque exécutable, vos processus en cours d'exécution (y compris vos outils de détection) vont maintenir le malware en vie. Dans ce cas, vous devez masquer le DLL incriminé avec écho comme ci-dessus, tuer et relancer tout votre logiciel (cela devrait entraîner une erreur DLL à chaque fois que vous exécutez un programme), puis redémarrez. . Mais assurez-vous d’avoir enlevé d’abord les autres crochets.
  • Il se peut qu'un processus de surveillance surveille les modifications apportées au logiciel malveillant et les restaure. Si tel est le cas, vous devrez peut-être effectuer plusieurs actions simultanément, et le seul moyen fiable consiste à utiliser un script batch. Mais en fonction de l'intervalle de vérification, il peut suffire d'exécuter les étapes rapidement et en séquence.
  • Si vous ne trouvez rien et qu'il s'avère être un rootkit, sa recherche et son retrait deviennent beaucoup plus difficiles - vous avez besoin d'outils qui contournent les fenêtres de niveau supérieur. C'est probablement un peu au-delà de ce qui peut être couvert dans une réponse de superutilisateur, mais en utilisant RootkitRevealer suivi d'un cd de démarrage linux pour supprimer les fichiers réels peut être efficace (n'oubliez pas de renommer l'exe).
  • Si vous devez redémarrer avant d'être certain de le supprimer, couper l'alimentation au lieu de procéder à un redémarrage ordonné élimine une possibilité supplémentaire de réinfection. Assurez-vous simplement que vous avez sauvegardé leurs données en premier.

Étant donné que ce logiciel malveillant demande de l'argent pour réparer votre ordinateur et le ralentit, l'approche de charge DLL est probable. Cela ne modifie probablement pas les fichiers système et n’installe pas de rootkit, car cela risquerait davantage de casser le système. Vous devriez donc pouvoir l'enlever en utilisant l'approche générale ci-dessus, mais si vous manquez un crochet, vous risquez de revenir à la case départ au prochain démarrage.

Si cela semble demander beaucoup d’efforts, c’est vrai. La réinstallation est généralement plus facile et vous ne pouvez plus jamais faire totalement confiance à un ordinateur une fois qu’un logiciel malveillant s’y trouve. Mais personnellement, je trouve cela assez amusant: c’est vous et le créateur de programmes malveillants, et vous avez l’avantage évident d’être l’humain sur la console!

1
Alex Forbes

La réinstallation est recommandée. Toutefois, si le périphérique contient des données que vous ne pouvez pas vous permettre de perdre, essayez d’essayer Microsoft Defender Offline .

Fondamentalement, il vous permet de contourner le système d’exploitation et d’effectuer ensuite une analyse du disque dur. Assurez-vous de télécharger une nouvelle copie afin de disposer des définitions antivirus récentes.

Si le PC est toujours lent après cela, vous pouvez essayer de démarrer avec un CD/USB Linux pour copier vos données, puis de réinstaller Windows. Assurez-vous cependant de numériser le disque dur de sauvegarde sur une autre machine (protégée) avant de la recopier sur l’ancienne machine.

1
codinguser

Pour simplifier, vous avez soit un problème de matériel, soit un logiciel, soit les deux.

Déterminez si le démarrage depuis votre ordinateur est activé sur votre ordinateur ou via USB, et les étapes pour démarrer à partir d'un support externe s'il est désactivé par défaut. Une recherche rapide sur Google accélère souvent ce processus.

Utilisez un cd en direct, tel que le Ultimate Boot CD , pour vérifier le RAM et le disque dur à la recherche d’erreurs. Testez le RAM avec Memtest86 + et utilisez la suite de tests du fabricant de votre disque dur, telle que DLG pour les disques durs WD . Cela éliminera la plupart des problèmes de mémoire et de disque dur. Vous pouvez également vérifier la température du système si vous souhaitez éliminer les problèmes thermiques.

Ensuite, exécutez un live CD Linux ou démarrez une distribution Linux à partir de l’USB. Si cela ne présente aucun problème et s'exécute beaucoup plus rapidement que le système installé sans aucun problème de stabilité, c'est le démarrage et le démarrage instantané. Transférez tous les éléments "ne pouvant pas perdre" du disque dur vers un support externe à ce stade. Vous voudrez analyser ces fichiers à la recherche de programmes malveillants avant de les obtenir à proximité d'un PC en parfait état. Il est préférable de les numériser dans une sorte d’environnement réel.

Si vous n'avez pas encore essayé la partition de restauration, vous pouvez choisir d'effectuer une "restauration destructive" à partir d'ici, mais je ne fais pas beaucoup confiance aux partitions de restauration, car elles peuvent être infectées par des logiciels malveillants, tout comme les partitions normales. . C’est ici qu’il est agréable d’être un utilisateur Linux, car il n’est pas nécessaire de parler de clés de licence et d’installation de supports.

Si vous souhaitez rester sous Windows, voici vos étapes:

Recherchez un disque de restauration système ou une version légitime du système d'exploitation que vous souhaitez installer. Vérifiez qu'il s'agit d'une version "complète" et non d'une version "mise à niveau" nécessitant l'installation d'une version antérieure du système d'exploitation. Assurez-vous d'avoir la clé de licence et entrez-la correctement. Préparez-vous à appeler le fabricant si la restauration ne fonctionne pas correctement ou Microsoft si l'installation du système d'exploitation échoue.

Prenez le "CD de démarrage ultime" mentionné précédemment et exécutez Boot and Nuke de Darik. Il faudra un certain temps pour effacer le lecteur. Puisque vous envisagez de réinstaller, vous pouvez utiliser l’un des modes de formatage les plus rapides. Un "effacement rapide" ou "DoD short" devrait faire l'affaire.

Installez le système d’exploitation à partir de rien sur le disque dur (maintenant vierge).

Si nécessaire, transférez les anciens fichiers qui ont été analysés à plusieurs reprises à la recherche de virus, dans la nouvelle installation du système d'exploitation. Profitez du processus d'installation des mises à jour logicielles et système.

Maudissez-vous de ne pas avoir de sauvegarde plus récente ou d'implémenter une routine de sauvegarde d'image système. Vœu de mieux faire et d’espérer qu’il n’y aura pas de prochaine fois. Il y aura probablement une prochaine fois.

0
Zoot

Vous pouvez consulter Windows Defender Offline , il recherche les logiciels malveillants et vous donne la possibilité de les réparer.

0
deveneyi