Que dois-je faire si mon ordinateur Windows semble être infecté par un virus ou un logiciel malveillant?
Cette question revient souvent et les solutions suggérées sont généralement les mêmes. Ce wiki de communauté est une tentative de servir de réponse définitive et la plus complète possible.
N'hésitez pas à ajouter vos contributions via des modifications.
Les symptômes généraux des logiciels malveillants peuvent être n'importe quoi. Les habituels sont:
Le scanner de virus du PC infecté pouvant être compromis, il est probablement plus sûr d'analyser le lecteur à partir d'un Live CD. Le CD lancera un système d’exploitation spécialisé sur votre ordinateur, qui analysera ensuite le disque dur.
Il existe, par exemple, Système de secours Avira Antivir ou ubcd4win . Vous trouverez d'autres suggestions à l'adresse suivante: Liste de téléchargement de CD de secours antivirus démarrables GRATUIT tels que:
Si vous connectez le disque dur infecté à un système propre afin de l’analyser, veillez à mettre à jour les définitions de virus de tous les produits que vous utiliserez pour analyser le lecteur infecté. Attendre une semaine pour permettre aux fournisseurs d’antivirus de publier de nouvelles définitions de virus peut améliorer vos chances de détecter tous les virus.
Assurez-vous que votre système infecté reste déconnecté d'Internet dès que vous constatez qu'il est infecté. Cela l'empêchera de télécharger de nouvelles éditions de virus (entre autres).
Commencez avec un bon outil tel que Spybot Search and Destroy ou Malwarebytes 'Anti-Malware et effectuez une analyse complète. Essayez également ComboFix , et SuperAntiSpyware . Aucun produit antivirus ne contiendra toutes les définitions de virus. Utiliser plusieurs produits est essentiel ( pas pour la protection en temps réel ). S'il ne reste qu'un seul virus sur le système, il pourra peut-être télécharger et installer les dernières éditions de nouveaux virus. Tous les efforts déployés jusqu'à présent n'auraient servi à rien.
msconfig
pour déterminer quels programmes et services doivent démarrer au démarrage (ou au démarrage sous le gestionnaire de tâches de Windows 8).Logon
et Scheduled tasks
.Maintenant, il devrait être sûr (avec optimisme) de démarrer sur votre système (précédemment) infecté. Gardez toujours les yeux ouverts pour détecter les signes d’infection. Un virus peut laisser sur un ordinateur des modifications qui faciliteraient la réinfection, même après la suppression du virus.
Par exemple, si un virus modifie les paramètres DNS ou proxy, votre ordinateur vous redirigera vers de fausses versions de sites Web légitimes, de sorte que le téléchargement de ce qui semble être un programme connu et de confiance pourrait bien être un virus.
Ils pourraient également obtenir vos mots de passe en vous redirigeant vers de faux sites de comptes bancaires ou de faux sites de courrier électronique. Assurez-vous de vérifier vos paramètres DNS et proxy. Dans la plupart des cas, votre DNS doit être fourni par votre FAI ou acquis automatiquement par DHCP. Vos paramètres de proxy doivent être désactivés.
Vérifiez dans votre fichier hosts
(\%systemroot%\system32\drivers\etc\hosts
) les éventuelles entrées suspectes et supprimez-les immédiatement. Assurez-vous également que votre pare-feu est activé et que vous disposez de toutes les dernières mises à jour de Windows.
Ensuite, protégez votre système avec un bon antivirus et complétez-le avec un produit anti-malware. Microsoft Security Essentials est souvent recommandé avec d’autres produits .
Il convient de noter que certains logiciels malveillants sont très efficaces pour éviter les scanners. Il est possible qu'une fois infecté, il puisse installer rootkits ou similaire pour rester invisible. Si les choses vont vraiment mal, la seule option est d’effacer le disque et de réinstaller le système d’exploitation. Parfois, un scan utilisant GMER ou le TDSS Killer de Kaspersky peut vous montrer si vous avez un rootkit.
Vous voudrez peut-être faire quelques essais de Spybot Search and Destroy. Si après trois exécutions, il est impossible de supprimer une infestation (et vous ne le faites pas manuellement), envisagez une réinstallation.
Une autre suggestion: Combofix est un outil de suppression très puissant lorsque les rootkits empêchent d'autres tâches de s'exécuter ou de s'installer.
L'utilisation de plusieurs moteurs d'analyse peut certainement aider à identifier les malwares les mieux cachés, mais cette tâche est fastidieuse et une bonne stratégie de sauvegarde/restauration sera plus efficace et sécurisée.
Bonus: une série de vidéos intéressantes commence par « Comprendre et combattre les logiciels malveillants: virus, logiciels espions» avec Mark Russinovich, créateur de Sysinternals ProcessExplorer & Autoruns, sur le nettoyage des logiciels malveillants.
Les astuces de Jeff Atwood "Comment nettoyer une infestation de logiciels espions Windows" . Voici le processus de base (assurez-vous de lire le post du blog pour des captures d'écran et d'autres détails sur lesquels ce résumé est traité):
Ma façon de supprimer les logiciels malveillants est efficace et je ne l'ai jamais vu échouer:
Quelques remarques:
Il est efficace car il empêchera les logiciels malveillants, les logiciels espions et les virus de commencer.
vous êtes libre d’exécuter des outils facultatifs pour nettoyer les fichiers indésirables laissés sur votre système.
Suivez l'ordre indiqué ci-dessous pour désinfecter votre PC
Sur un PC non infecté, créez un disque AV de démarrage, puis démarrez-le à partir du disque situé sur le PC infecté et analysez le disque dur, puis supprimez toutes les infections détectées. Je préfère le CD d'amorçage Windows Defender Offline _, car il peut supprimer les virus du secteur d'amorçage, voir "Remarque" ci-dessous.
Ou, vous pouvez essayer quelques autres disques d'amorçage AV .
Après avoir analysé et supprimé les logiciels malveillants à l'aide du disque d'amorçage, installez gratuitement MBAM , exécutez le programme, accédez à l'onglet Mettre à jour et mettez-le à jour, puis accédez à l'onglet Scanneur et effectuez une analyse rapide. et supprimez tout ce qu'il trouve.
Lorsque MBAM est terminé, installez la version gratuite SAS , lancez une analyse rapide, supprimez ce qu'elle sélectionne automatiquement.
Si des fichiers système Windows ont été infectés vous devrez peut-être exécuter SFC pour remplacer les fichiers, vous devrez peut-être le faire en mode hors connexion s'il ne parvient pas à démarrer en raison de la suppression des fichiers système infectés . Je vous recommande d’exécuter SFC après la suppression de toute infection.
Dans certains cas, vous devrez peut-être exécuter une réparation de démarrage (Windows Vista et Windows7 uniquement) pour le redémarrer correctement. Dans les cas extrêmes, 3 réparations de démarrage consécutives peuvent être nécessaires.
MBAM et SAS ne sont pas des logiciels antivirus comme Norton, ce sont des scanneurs à la demande qui ne recherchent que les logiciels malveillants lorsque vous exécutez le programme et n'interféreront pas avec votre matériel audiovisuel installé. Ils peuvent être exécutés une fois par jour ou par semaine. assurez-vous que vous n'êtes pas infecté. Assurez-vous de les mettre à jour avant chaque analyse hebdomadaire.
Remarque: le produit Windows Defender Offline est très efficace pour supprimer les infections persistantes du MBR qui sont courantes de nos jours.
.
Pour les utilisateurs avancés:
Si vous avez une infection unique qui se présente sous forme de logiciel, c'est-à-dire "Correction du système" "AV Security 2012", etc., { consultez cette page pour obtenir des guides de suppression spécifiques } _
.
Si vous remarquez l'un des symptômes, vérifiez les paramètres DNS de votre connexion réseau.
Si ceux-ci ont été remplacés par «Obtenir l'adresse du serveur DNS automatiquement» ou par un serveur différent de celui qu'il devrait être, c'est un bon signe que vous avez une infection. Ce sera la cause des redirections hors des sites anti-malware, ou un échec complet pour atteindre le site.
C'est probablement une bonne idée de noter vos paramètres DNS avant qu'une infection ne se produise afin de savoir ce qu'ils devraient être. Les détails seront également disponibles sur les pages d’aide du site Web de votre fournisseur de services Internet.
Si vous ne connaissez pas les serveurs DNS et que vous ne trouvez pas les informations sur votre site Web, utilisez les serveurs DNS de Google. C'est une bonne alternative. Vous les trouverez à 8.8.8.8 et 8.8.4.4 pour les serveurs primaire et secondaire, respectivement.
Si la réinitialisation du DNS ne résout pas le problème, elle vous permettra a) d’atteindre les sites anti-malware pour obtenir le logiciel dont vous avez besoin pour nettoyer le PC et b) de déterminer si l’infection se reproduit car les paramètres DNS changeront à nouveau.
Une nouvelle forme de malware particulièrement horrible est ransomware . Ce type de programme, généralement fourni avec un cheval de Troie (pièce jointe d’e-mail, par exemple) ou un exploit du navigateur, passe en revue les fichiers de votre ordinateur, les chiffre (les rendant complètement méconnaissables et inutilisables) et exige une rançon pour les rendre à un utilisateur utilisable. Etat.
Ransomware utilise généralement cryptographie à clé asymétrique , qui implique deux clés: la clé publique et la clé privée. Lorsque vous êtes touché par un ransomware, le programme malveillant qui s'exécute sur votre ordinateur se connecte au serveur des malfaiteurs (le command-and-control ou C & C), qui génère les deux clés. Il envoie uniquement la clé publique au programme malveillant sur votre ordinateur, car il ne lui en faut plus que pour chiffrer les fichiers. Malheureusement, les fichiers ne peuvent être déchiffrés qu'avec la clé privée, qui ne vient même jamais dans la mémoire de votre ordinateur si le logiciel de ransomware est bien écrit. Les malfaiteurs déclarent généralement qu'ils vous donneront la clé privée (vous permettant ainsi de déchiffrer vos fichiers) si vous payez, mais vous devez bien sûr leur faire confiance.
La meilleure option consiste à réinstaller le système d'exploitation (pour supprimer toute trace de programme malveillant) et à restaurer vos fichiers personnels à partir de sauvegardes effectuées précédemment. Si vous n'avez pas de sauvegardes maintenant, ce sera plus difficile. Prenez l'habitude de sauvegarder des fichiers importants.
Le fait de payer vous permettra probablement de récupérer vos fichiers, mais veuillez ne pas . Cela soutient leur modèle d'entreprise. De plus, je dis «probablement vous laisser récupérer» car je connais au moins deux souches si mal écrites qu'elles écrasent irrémédiablement vos fichiers; même le programme de décryptage correspondant ne fonctionne pas réellement.
Heureusement, il existe une troisième option. De nombreux développeurs de logiciels de ransomware ont commis des erreurs en laissant les bons professionnels de la sécurité développer des processus qui annulent les dégâts. Le processus pour y parvenir dépend entièrement de la pression des ransomwares et cette liste est en constante évolution. Certaines personnes formidables ont constituéune grande liste de variantes de ransomware, y compris les extensions appliquées aux fichiers verrouillés et le nom de la note de rançon, qui peuvent vous aider à identifier votre version. Pour de nombreuses variétés, cette liste contient également un lien vers un décrypteur gratuit! Suivez les instructions appropriées (les liens se trouvent dans la colonne Decryptor) pour récupérer vos fichiers. Avant de commencer , utilisez les autres réponses à cette question pour vous assurer que le programme ransomware est supprimé de votre ordinateur.
Si vous ne pouvez pas identifier ce qui vous a été touché uniquement par les extensions et le nom de la note de rançon, essayez de rechercher sur Internet quelques phrases distinctives de la note de rançon. Les fautes d'orthographe ou de grammaire sont généralement uniques, et vous tomberez probablement sur un fil de discussion qui identifie le logiciel de ransomware.
Si votre version n'est pas encore connue ou ne dispose pas d'un moyen gratuit de déchiffrer les fichiers, ne perdez pas espoir! Les chercheurs en sécurité travaillent à l’annulation du ransomware et les forces de l’ordre poursuivent les développeurs. Il est possible qu'un décrypteur finisse par apparaître. Si la rançon est limitée dans le temps, il est concevable que vos fichiers soient toujours récupérables lorsque le correctif sera développé. Même si ce n'est pas le cas, ne payez pas sauf si vous devez absolument le faire. Pendant que vous attendez, assurez-vous que votre ordinateur est exempt de logiciels malveillants, en utilisant à nouveau les autres réponses à cette question. Sauvegardez les versions chiffrées de vos fichiers pour les protéger jusqu'à la publication du correctif.
Une fois que vous avez récupéré autant que possible (et effectué des sauvegardes sur un support externe!), Envisagez fortement d'installer le système d'exploitation à partir de zéro. Encore une fois, cela supprimera tout programme malveillant qui s’est logé au plus profond du système.
Quelques astuces spécifiques aux variantes de ransomware qui ne figurent pas encore dans le grand tableur:
Ransomware est méchant, et la triste réalité est qu'il n'est pas toujours possible de s'en remettre. Pour rester en sécurité dans le futur:
Il existe une grande variété de logiciels malveillants. Une partie est triviale à trouver et à supprimer. Certains sont plus compliqués. Une partie est vraiment difficile à trouver et très difficile à supprimer.
Toutefois, même si vous avez un logiciel malveillant léger, vous devez sérieusement envisager de reformater et de réinstaller le système d'exploitation. En effet, votre sécurité a déjà échoué et, si elle échoue pour un simple malware, vous êtes peut-être déjà infecté par un malware malveillant.
Les personnes travaillant avec des données sensibles ou à l'intérieur de réseaux contenant des données sensibles doivent fortement envisager d'effacer et de réinstaller. Les personnes dont le temps est précieux devraient sérieusement envisager d’essuyer et de réinstaller (c’est la méthode la plus rapide, la plus simple et la plus sûre). Les personnes qui ne sont pas à l'aise avec les outils avancés devraient sérieusement envisager d'effacer et de réinstaller.
Mais les personnes qui ont le temps et qui aiment noodling peuvent essayer les méthodes énumérées dans d’autres publications.
Les solutions possibles pour une infection virale sont dans l’ordre: (1) analyses antivirus, (2) réparation du système, (3) réinstallation totale.
Assurez-vous d'abord que toutes vos données sont sauvegardées.
Chargez et installez des antivirus, assurez-vous qu’ils sont à jour et analysez votre disque dur. Je recommande d'utiliser au moins Malwarebytes 'Anti-Malware . J'aime aussi Avast.
Si cela ne fonctionne pas pour une raison quelconque, vous pouvez utiliser un scanner de virus de secours Live CD: J'aime mieux Avira AntiVir Rescue System parce qu'il est mis à jour plusieurs fois par jour et que le CD à télécharger est donc à la hauteur de - rendez-vous amoureux. En tant que CD de démarrage, il est autonome et ne fonctionne pas avec votre système Windows.
Si aucun virus n’est détecté, utilisez "sfc/scannow" pour réparer les fichiers Windows importants.
Voir cet article .
Si cela ne fonctionne pas non plus, vous devriez Effectuer une installation de réparation .
Si rien ne fonctionne, vous devez formater le disque dur et réinstaller Windows.
Un autre outil que je souhaiterais ajouter à la discussion est le Microsoft Safety Scanner . Il vient de sortir il y a quelques mois. C'est un peu comme le Outil de suppression de logiciels malveillants , mais conçu pour une utilisation hors connexion. Il aura les dernières définitions à partir du moment où vous le téléchargez et ne sera utilisable que pendant 10 jours car il considérera son fichier de définitions comme "trop vieux pour être utilisé". Téléchargez-le avec un autre ordinateur et exécutez-le en mode sans échec. Ça marche plutôt bien.
Un peu de théorie d'abord: s'il vous plaît, réalisez que il n'y a pas de substitut à la compréhension.
L'ultime antivirus consiste à comprenez ce que vous faites et généralement ce qui se passe dans votre système, avec votre propre esprit et dans la soi-disant réalité.
Aucune quantité de logiciel ou de matériel ne vous protégera pleinement de vous-même et de vos propres actions, ce qui, dans la plupart des cas, est la raison pour laquelle le logiciel malveillant pénètre dans un système.
La plupart des logiciels malveillants, logiciels publicitaires et espions "de production" modernes reposent sur diverses astuces d '"ingénierie sociale" pour vous tromper en installant des applications "utiles", des modules complémentaires, des barres d'outils de navigateur, des "scanneurs de virus" ou un clic grand vert Download boutons qui vont installer des logiciels malveillants sur votre machine.
Même un installateur pour une application supposée fiable, telle que par exemple uTorrent, installerait par défaut les logiciels publicitaires (adware) et éventuellement les logiciels espions (spyware) si vous cliquez simplement sur l'icône Next et ne prenez pas le temps de lire ce que toutes les cases à cocher signifient.
Le meilleur moyen de lutter contre les astuces d'ingénierie sociale utilisées par les pirates est ingénierie sociale inverse - si vous maîtrisez cette technique, vous serez capable de gérer éviter la plupart des types de menaces et maintenir votre système propre et en bonne santé, même sans antivirus ni pare-feu.
Si vous avez remarqué des signes de formes de vie malveillantes/non sollicitées dans votre système, la seule solution propre serait de reformater et de réinstaller intégralement votre système. Faites une sauvegarde comme décrit dans d’autres réponses ici, formatez rapidement les disques et réinstallez votre système ou, mieux encore, déplacez les données utiles vers un stockage externe, puis reproduisez l’image de la partition système à partir d’une image vierge de la partition que vous avez précédemment créée.
Certains ordinateurs ont une option du BIOS permettant de rétablir les paramètres d'usine par défaut du système. Même si cela peut sembler un peu exagéré, cela ne fera jamais mal et, ce qui est plus important, cela résoudra tous les autres problèmes éventuels, que vous en soyez conscient ou non, sans avoir à traiter chaque problème un à un.
Le meilleur moyen de "réparer" un système compromis est de ne pas le réparer du tout, mais de revenir à un "bon" cliché connu en utilisant un logiciel de création d'image de partition, tel que Paragon Disk Manager, Paragon HDD Manager, Acronys Disk Manager. ou par exemple dd
si vous avez effectué la sauvegarde à partir de Linux.
Avec référence à William Hilsum, "Comment me débarrasser de ceci: Utilisation d'un CD live" ci-dessus:
Un virus ne pourra pas s'exécuter dans un environnement de CD live, vous pouvez donc utiliser temporairement votre ordinateur sans craindre d'autres infections. Mieux encore, vous pouvez accéder à tous vos fichiers. Le 20 juin 2011, Justin Pot a écrit une brochure intitulée "50 utilisations géniales pour les CD live". Le début de la brochure explique comment démarrer à partir d'un CD, d'une clé USB ou d'une carte SD, et les pages 19 à 20 expliquent comment numériser avec différents "antimalwares", dont certains ont déjà été mentionnés. Les conseils donnés sont précieux pour ce scénario et sont expliqués dans un anglais facile à comprendre. Bien entendu, le reste de la brochure est inestimable pour vos autres besoins informatiques. (le lien vers le téléchargement (au format PDF est fourni) est fourni à partir du lien ci-dessous. N'oubliez jamais de faire preuve de discernement lorsque vous utilisez Internet, ne soyez pas tenté de vous écarter des "endroits" où des programmes malveillants sont très susceptibles. Tout antivirus, suites de sécurité Internet, etc. que vous utiliserez peut-être devraient avoir les dernières mises à jour, et le système d'exploitation que vous utiliserez devrait également être tenu à jour.
http://www.makeuseof.com/tag/download-50-cool-live-cds/
Une fois que vous avez cliqué ou copié et collé le lien ci-dessus, veuillez cliquer sur
TELECHARGEZ 50 utilisations géniales pour les CD live (écrits en bleu)
_ {Remarque} J'ai essayé d'écrire cela dans la section commentaires, mais je ne pouvais pas l'adapter. Je l'ai donc donné dans une réponse officielle, car elle est inestimable.
Deux points importants:
Comme suggéré précédemment dans cette rubrique, si vous êtes SÛR que vous êtes infecté, utilisez un live CD Linux pour démarrer votre ordinateur et sauvegardez immédiatement toutes vos données sensibles.
Il est également recommandé de stocker vos fichiers sensibles sur un disque dur différent de celui de votre disque de démarrage du système d'exploitation. De cette façon, vous pouvez formater en toute sécurité le système infecté et exécuter une analyse complète de vos données sensibles, par souci de sécurité.
En fait, il n'y a pas de meilleure solution que de formater la partition système pour vous assurer de disposer d'un environnement exempt de virus et de logiciels malveillants. Même si vous utilisez un bon outil (et qu'il y en a sûrement beaucoup), il reste toujours des restes et votre système peut sembler propre pour le moment, mais il devient sûrement une bombe à retardement qui attend pour exploser plus tard.
Le 8 décembre 2012, Remove-Malware a publié un didacticiel vidéo intitulé "Supprimer les logiciels malveillants gratuit 2013 Edition" ainsi qu'un guide complémentaire expliquant comment vous débarrasser gratuitement des logiciels malveillants de votre ordinateur infecté.
Ils décrivent
Le didacticiel vidéo est terminé 1 heure et constitue, avec le guide écrit, une excellente ressource.
Le didacticiel vidéo: link
Guide écrit: lien
Mise à jour:
Un article très informatif article écrit aujourd'hui 1er février 2013 par J. Brodkin intitulé "Virus, chevaux de Troie et vers, oh mon dieu: les bases du malware" . " de arstechnica.com souligne le problème permanent des logiciels malveillants et de leurs types, en expliquant chacun d'entre eux, en soulignant:
L'article met également en évidence la propagation de logiciels malveillants, le fonctionnement de réseaux de zombies et les entreprises attaquées.
RÉPONSE COURTE:
Aujourd'hui, vous ne pouvez jamais être sûr d'avoir complètement éliminé une infestation, sauf si vous nettoyez votre disque et recommencez.
Je ne pense pas que les programmes audiovisuels tels que MSE, McAfee, Norton, Kaspersky, etc. puissent vous protéger à 100%, car leurs fichiers de définition arrivent toujours après le fait - une fois que le malware est déjà disponible sur le Web et qu'il peut avoir fait beaucoup des dommages. Et beaucoup d’entre eux ne vous protègent pas contre les PUP et les Adware.
Je ne pense pas non plus que les scanners tels que Malwarbytes, Superantispyware, le scanner Bitdefender et d’autres puissent beaucoup aider lorsque le logiciel malveillant a déjà endommagé votre système. Si vous avez suffisamment de scanners, vous pourrez supprimer le logiciel malveillant, mais vous ne pourrez pas réparer les dommages qu’il a causés.
J'ai donc développé une stratégie en deux temps:
Je crée des images hebdomadaires (j'utilisesans Macrium) de ma partition système et de ma partition de données sur deux disques externes uniquement connectés pendant la création d'image. Ainsi, aucun malware ne peut les atteindre. Si quelque chose ne fonctionne pas dans mon système, je peux toujours restaurer la dernière image. Je garde habituellement une demi-douzaine d'images complètes au cas où je devrais revenir plus loin que la semaine dernière. De plus, la restauration du système est activée dans mon système d'exploitation, ce qui me permet de me rétablir rapidement en cas de mise à jour défectueuse. Mais les images système (ombres) ne sont pas très fiables car elles peuvent disparaître pour diverses raisons. Se fier uniquement aux images système ne suffit pas.
La plupart de mes travaux sur Internet sont réalisés à partir d'une partition virtuelle Linux. Linux lui-même n'est pas la cible de logiciels malveillants et les logiciels malveillants Windows ne peuvent pas affecter Linux. Avec ce système je fais
tous mes téléchargements et les vérifier avecVirus Totalavant de les transférer sur le système Windows. Virus Total exécute le fichier par le biais des 60 programmes audiovisuels les plus connus et s’il est propre, il y a de fortes chances pour qu’il soit propre.
tous les accès Internet à des sites Web pour lesquels je ne suis pas sûr à 100% qu'ils sont propres - comme par exemple. ce site ici.
tout mon courrier. C'est l'avantage de Gmail et d'AOL. Je peux consulter mes mails avec mon navigateur. Ici, je peux ouvrir n'importe quel courrier sans craindre de contracter un virus. Et les pièces jointes que je lance via Virus Total.
tous mes services bancaires en ligne. Linux me fournit une couche de sécurité supplémentaire
Avec cette approche, je n'ai vu aucun malware depuis des années. Si vous aimez essayer une partition virtuelle Linux,voici comment.