Récemment, j'ai eu à faire à une sérieux problème de sécurité sur mon PC. Mea Culpa, je n'étais pas vraiment bien protégé.
Cela dit, cette petite mésaventure m'a appris à faire face à des virus qui sont programmés pour vous empêcher de réagir (notamment en fermant le gestionnaire de tâches, en plantant lors de l'exécution de Regedit ou encore en vous empêchant de surfer sur des pages antivirus).
La première chose à faire, si vous avez des doutes, est de démarrer Windows en mode sans échec avec prise en charge réseau. (Windows démarre mais ne tient - normalement - pas compte des clés contenues dans le base de registres). Vous devriez avoir accès aux gestionnaire des tâches (Ctrl+Alt+Del).
Dans l'onglet "applications" regardez si vous avez une application en cours d'éxecution qui pourrait ressembler à un virus ou un worm. Si c'est le cas "killez"-là.
Deuxième étape, allez sur la page : http://housecall.trendmicro.com/housecall/start_corp.asp
Ce logiel on-line est constamment mis à jour, donc redoutable. Effectuez un scan de vos disques durs (cochez la case "Autoclean"). Si vous êtes infecté, la liste de fichiers corrompus s'affichera avec le nom du virus, malware, worm et autre trojan concerné. Notez bien le nom du ou des virus présents sur votre système. Ce sera utile pour plus tard. Une fois le scan terminé, effacez les fichiers corrompus (bouton "Delete"), si vous en avez. En revanche, si votre système est clean, le problème doit venir d'ailleurs.
Step 3:
Allez sur la page: http://securityresponse.symantec.com/avcenter/tools.list.html
Téléchargez les "Removals Tools" correspondants aux noms des virus se trouvant sur votre système (suivant les éditeurs de logiciels, les noms des virus peuvent varier! Au cas-où, cherchez sur Google les "synonymes", les noms alternatifs qu'utilise Symantec). Exécutez-les. Redemarrez normalement. Si votre système est "guéri", good job! Si le nom du virus n'est pas dans la liste ou que votre PC continue à déconner, continuez à la phase 4.
Phase 4:
Télechargez le programme "Autoruns" -> http://www.sysinternals.com/files/autoruns.zip
Cet utilitaire poids-plume (40ko)vous permet de voir votre séquence de démarrage Windows, à travers les clés appelées dans la base de registre. Avantage: vous évite de vous perdre dans les méandres de RegEdit, l'interface est limpide et vous permet d'afficher, modifier et effacer les clés directement. Pratique!
Lancez, donc, Autoruns. Là, il s'agit d'être prudent. N'effacez rien sans que vous soyez vraiment sûr de ce que vous faites.
Traquez les .exe qui vous semblent louches, ceux qui n'ont rien à voir avec les logiciels présents sur votre système. ATTENTION toutefois: windows utilise des fichiers que vous ne connaissez pas forcément.
Pour en être sûr: recherchez sous Google le nom de l'.exe en question. 9 fois sur 10 vous êtes fixé: c'est un fichier "système" ou un virus. (ex : cftmon.exe est un fichier utilisé par Microsoft Office, alors que Belt.exe ou encore Susp.exe sont des trojans)
Vérifiez donc cela et notez l'emplacement physique (sur le disque) des entrées qui correspondent à des virus. Effacez les entrées "virus" dans Autoruns (surbrillance et cliquer sur le box "croix rouge"). Rechercher les fichiers dans Windows Explorer, effacez-les également de votre disque dur (effacez également les éventuels fichiers .ini ou .inf qui pourraient les accompagner).
5ème étape
On arrive bientôt au bout! Il s'agit maintenant de s'occuper des "Services". Les Services sont des applications que les virus appellent pour les aider à foutre le bordel. Elles sont présentes, bien sûr, sur votre disque dur, mais aussi dans la base de registre.
Chechez dans google le nom des virus en question en ajoutant à la recherche le mot "services". Vous devriez tomber sur des pages qui vous indiquent les noms des services (toujours des .exe) qu'utilisent vos virus. Ouvrez la base de registre (Bouton démarrer/exécuter/ Regedit.exe) et rechercher les clés qui appellent ces programmes (Edition/ Rechercher) et effacez-les. Même chose pour Windows Explorer.
Epilogue
Votre PC devrait être remis de ses émotions. Si, malgré tous ces efforts, les symptômes sont toujours présents, ne vous prenez pas trop le chou: formatez! C'est peut-être chiant, mais au moins c'est radical.
Installez-vous tout de même un firewall digne de ce nom. JE vous conseille ZoneAlarm (gratos), même si je sais qu'il ne fait pas l'unanimité. http://download.zonelabs.com/bin/free/1012_zl/zlsSetup_45_594_000.exe
Pensez égalment à un bon anti-virus. Mais, par la grâce de Dieu... EVITEZ NORTON!!!
P.S. Merci à Dracul pour ses précieux conseils!!!!
En tout cas sur Win Xp,histoire de ne pas restaurer le vilain virus.
