Virus, Spywares, Malwares : Procédure d'éradication sous Windows XP/2000

La procédure ci-desous permet d'éradiquer la quasi totalité des virus, Spywares et autres parasites "classiques" assez facilement et sans besoin de beaucoup d'outils...

L'opération consiste à stopper les processus parasites, identifier la façon dont ils se lancent ('il n'y a pas 20 000 façons sous XP/2000) et supprimer leurs exécutables...

NOTE :

- la procédure suivante s'applique aussi bien sur un PC familliale que sur un PC de bureau intégré à un réseau d'entreprise multi-postes, multi-sites.
- bien qu'elle est été rédigée il a quelques années (2008), elle s'applique encore sur les OS récents (Windows 7/8) même si des outils existent maintenant pour faire le travail plus facilement
- elle est extraite d'une note interne que j'avais rédigée lorsque je faisais partie d'une équipe de support informatique.

 

1. Isoler le poste inefcté et stopper les processus parasites

Un poste identifié comme infecté devrait immédiatement être deconnecté du réseau... En pratique, cela est possible sur les agences ou est présent le service informatique... Pour les autres, la connexion réseau reste indispensable pour que nous puissons intervenir. Si il faut impérativement isoler le poste du réseau, la solution reste encore d'utiliser un LiveCD permettant la prise en main à distance tel que "Hiren's Boot CD"

Avec le gestionnaire des tâches, commencer par stopper tous les processus non identifiés... Un petit coup de google peut aider à connaître rapidement l'utilité et le bien fondé de tel ou tel processus...

Il est également possible, si le poste est sur un site ou le sinfo est présent de démarrer le poste en mode sans échec...

Une fois les processus coupés, le nettoyage commence...

2. Désactiver la restauration du système

En effet, la quasi totalité des parasites utilisent cette méthode pour se donner l'occasion de faire leur réaparition lors d'un retour en arrière via restauration du poste. Désactiver la restauration du système puis rebooter, cela permettra de vider les points de restauration. Une fois le nettoyage effectué, penser à remettre en place la restauration du système, cette dernière peut parfois aider...

3. Shooter le lancement des parasites

Sous Windows 2000/XP, les seuls moyens qu'on les parasites pour se lancer sont :

  • les clefs run de la base de registe
  • Via les clefs d'Explorer de la base de registre
  • le menu "Démarrage"
  • les tâches planifiés
  • ... et on l'oubli parfois, mais il y'à aussi la méthode "Dinausore" : les fichiers "win.ini" et "system.ini" de Windows... qui mêmes s'ils ne sont plus beaucoup utilsés de nos jours sont toujours pleinement fonctionnels
  • ... via un service Windows intermédiaire !

Pour la base de registre, vérifier les clefs de registre suivantes : 

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Setup

Pour les puristes, vérifier également ce qui pourrait se lancer dans le "Run" des autres profiles...

  • HKEY_USER\%User_SID%\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_USER\%User_SID%\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_USER\%User_SID%\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HHKEY_USER\%User_SID%\Software\Microsoft\Windows\CurrentVersion\Setup

Pour les lancement des parasites via Explorer, vérifier : 

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Explorer\
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Explorer\

Pour le menu "Démarrage", vérifier le contenu de  :

  • C:\Documents and Settings\%userprofile%\Menu Démarrer\Programmes\Démarrage\
  • C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\

Les tâches planifiées :

  • C:\Windows\tasks\

Fichiers systèmes Win.ini et system.ini :

Le mieux est encore de passer par msconfig (Démarrer, Executer, "msconfig")... Sinon, ces fichiers se trouvent dans C:\Windows... Notepad est mon ami...

Les services Windows :

Vérifier les services installés sur le poste à la recherche de service suspects... La encore, google est mon ami... Il faut cependant savoir qu'un service sans description est généralement "louche" ! (attention, les services liés aux périphériques HP ne comportent pas de description !!)

Un service peut en effet être utilisé pour lancer une multitude de processus... et la ou c'est piège c'est que c'est généralement lancé par le lanceur de service "svchost" de Windows... donc non identifiable... (sauf peut être avec processXP ou si le svchost pêt des records de consommation dans le gestionnaire des tâches)

Une fois un service parasite identifié, utiliser l'invite de commandes  :

  • sc delete nom_du_service

Le nom du service réél est disponible dans ses propriétés... Une fois le SC delete passé, aller dégommer l'executables du service en question ! (le chemin du service est également indiqué dans ses propriétés)

4. Nettoyage du poste

De façon générale, les parasites se logent dans les emplacements suivants : 

  • C:\documents and settints\%userprofile%\Local Settings\Temp
  • C:\WINDOWS\Temp
  • C:\Temp (si si, j'ai déjà vu des parasites dans notre répertoire custom... Pourquoi ?? => Certains applications inscrivent ce répertoire en tant que répertoire temporaire dans les variables d'environnement, c'est le cas notemment d'ArcGis 9.2...)

Pas de problème pour ces répertoires, purge complète ! (si des fichiers sont récalcitrrants à la suppression, c'est qu'un processus les exploitants est encore en cours... le shooter... Utiliser la combinaison SHIFT+SUPPR peut forcer leur suppression)

D'autres fichiers peuvent également être créés à cet emplacement, vérifier et shooter tout ce qui est suspect :

  • C:\documents and settints\%userprofile%\Application Data\
  • C:\documents and settints\All Users\Application Data\
  • C:\documents and settints\All USers\Local Settings\Temp
  • C:\WINDOWS\System32\Config\systemprofile\Application Data\
  • C:\WINDOWS\System32\Config\systemprofile\Local Settings\Temp
  • C:\

5. Finitions !

Pour finir le nettoyage (des éléments auraient pu nous échaper, surtout au niveau de la base de registre...)

  • Passaage de Ccleaner
  • Passage de Malwerbytes Free Edition (radical)
  • Passage de Spybot => facultatif car long et Malwarebytes aura fait le taff...

Pour terminer, réactiver la restauration du système et rebooter...

Durée de la manip : 1 à 2h