Traiter son ordinateur infecté par des programmes malicieux

A la cybercommune où j’interviens, on est de plus en plus souvent sollicité par des usagers dont l’ordinateur est infecté par des adwares, des spywares, des rogues et des hijackers… et qui ne savent pas comment s’en débarrasser.
On a donc écrit cet article comme support d’intervention, notamment pour les usagers qui ne peuvent pas se déplacer, et ceux qui ne peuvent pas terminer sur place l’action de désinfection, parfois très longue.
Restait à le partager avec tous ceux qui n’ont pas la chance de fréquenter notre cybercommune ou un autre EPN !…

 

 Au secours ! mon ordinateur débloque !

Malgré vos tentatives de suppression d’une « toolbar » intempestive, elle revient sans cesse ; en téléchargeant un jeu de belote « gratuit » sur internet, vous voilà tout-à-coup avec un navigateur qui n’a plus du tout la même apparence, où vos favoris ont disparu, et qui vous redirige vers des sites inconnus ; vous recevez une pop-up « urgent » qui vous prévient d’une (grave) infection de votre ordinateur, et qui vous incite à télécharger un nettoyeur miracle … Voila quelques exemples de situations dont on est facilement victime, même si on a appris à faire attention à ce que l’on fait sur internet.
Et qui peut arriver, même si l’on a un anti-virus résident et à jour. Parce que :

  • tous les antivirus ne se valent pas ;
  • vous avez peut-être mal paramétré le vôtre ;
  • même le meilleur antivirus n’est pas efficace à 100%,
  • les cochonneries dont on vient de donner des exemples ne sont pas des virus à proprement parler, si bien que votre antivirus peut les laisser passer en considérant que ça ne le concerne pas… surtout si c’est vous qui avez autorisé leur installation !

Quoiqu’il en soit, il faut agir pour vous en débarrasser dès que possible, d’abord parce qu’ils sont gênants et vont le devenir de plus en plus ; et ensuite parce qu’ils entrouvrent la porte de votre ordinateur à d’autres infections bien pires.

 Que faut-il donc faire ?

Faire un diagnostic et un premier nettoyage

Il existe plusieurs utilitaires, celui que nous utilisons à la cybercommune est AdwCleaner, de Xplode, que l’on trouve sur le site de Toolslib.net. Ne le téléchargez pas ailleurs ! La version fin décembre 2014 est la 4.106, pour toutes versions Windows.
Si votre ordinateur est infecté, il vaut mieux le télécharger depuis une autre machine, même si vous avez encore la main pour aller sur internet. C’est un petit fichier, qui s’appelle adwcleaner_4.106.exe, et qui pèse 2.07 Mo : on peut donc facilement le copier sur une clé USB, puis le coller sur le bureau de l’ordinateur infecté.
Une fois placé sur l’ordinateur voulu, faire un clic droit à la souris dessus, et dans la liste déroulante choisir : exécuter en tant qu’administrateur. Windows vous demandera d’abord votre autorisation, et comme vous lisez que le nom du programme est bien celui que vous attendez, vous pouvez cliquer sur « Oui ».

adwcleaner0Si cela ne marche pas, c’est parce que l’infection qui s’est installée sur l’ordinateur bloque le lancement de l’utilitaire. Vous devez alors essayer de redémarrer en mode sans échec. Voir plus bas le chapitre qui explique comment faire.

Presque aussitôt, vous verrez apparaître la fenêtre d’AdwCleaner, prêt à agir : 1_scanning_adwcleanerDeux options sur quatre sont actives : Scanner et Désinstaller. Cliquez bien sûr sur Scanner (1). La barre de progression du scan (au-dessus de Scanner) va montrer la progession de l’analyse (2).

3_scanning_adwcleaner

Dans la partie Résultats, en (3), les fichiers repérés par le scan vont s’afficher au fur et à mesure. La fenêtre active liste les services infectieux, et les autres onglets successivement les dossiers, les fichiers, etc. concernés par la ou les infections.
Quand le scan sera terminé, vous pourrez examiner la liste des fichiers considérés par AdwCleaner comme indésirables (4). Mais vous pouvez en décocher, si vous êtes sûr qu’ils sont bons et que vous voulez les garder. Dans l’image que j’ai prise, sur mon ordinateur, il n’y a pas de fichiers d’infection… parce mon ordinateur est propre, évidemment ! Je ne l’ai pas infecté exprès pour réaliser le tuto…
L’option Nettoyer est maintenant active (5). En cliquant dessus, vous déclenchez la suppression de tous les fichiers que vous avez laissé cochés à l’étape précédente – tous ceux qu’AdwCleaner a trouvés, si vous n’en avez décoché aucun. Là encore, l’opération est assez rapide.

nettoyerUne fenêtre s’ouvre, indiquant que tous les programmes en cours vont maintenant être fermés. Puis une autre, vous expliquant l’origine des infections et donnant des conseils basiques pour les éviter dorénavant.
Quand vous avez lu ces bons conseils, et appuyé sur OK, une nouvelle fenêtre vous indique que pour désinfecter votre ordinateur, AdwCleaner doit redémarrer l’ordinateur :

redemarrage_necessaireLe temps de redémarrage est à peine plus long que d’habitude. Les fichiers détectés ne sont pas exactement « supprimés », mais mis en quarantaine. Ils pourraient donc être récupérés en cas de besoin.
A l’ouverture de votre session Windows, le rapport s’ouvre, qui indique tout ce qui a été fait (très peu de chose chez moi/dans ce tuto, évidemment) :

rapportADWCl1Vous êtes invité à sauvegarder ce rapport, là où vous pourrez le retrouver si besoin.
Mais normalement, les signes de votre infection ont tous disparus et vous pouvez de nouveau vous servir pleinement de votre ordinateur.
Vous pouvez relancer si vous voulez AdwCleaner, pour procéder à la dernière opération possible, la désinstallation du produit :

desinstallerAdwCleanerUne fois relancé, il suffit donc de cliquer sur Désinstaller (6), qui suscitera cet avertissement :

quarantaine

La désinstallation supprime définitivement les fichiers mis en quarantaine. C’est pour cela qu’il est préférable d’attendre quelque temps pour procéder à la désinstallation, de façon à avoir la possibilité de récupérer des fichiers qui auraient été supprimés injustement.
Par ailleurs, vous pouvez encore avoir besoin d’utiliser AdwCleaner, et donc il vaut mieux le garder sous la main. Quoique, si vous le réutilisez, vous aurez probablement un message vous indiquant que votre version est devenue obsolètes et vous proposant de télécharger la mise à jour.

Je me suis contenté ici d’expliquer ce qu’il est indispensable de faire pour une désinfection d’urgence. Vous trouverez un tuto plus complet sur le site d’origine de l’éditeur (Xplode/General Changelog Team), établi pour la version 3.x (on est maintenant en 4.1x, mais les fonctions sont les mêmes). On y trouve par exemple des explications sur la restauration de fichiers infectés, ou sur l’utilisation du fichier Hosts pour éviter les PUP et adwares.

Faire un deuxième nettoyage avec ADSFix

AdwCleaner a bien soigné votre ordinateur. Cependant, certains malwares sont particulièrement tenaces et peuvent renaître de leurs cendres, ou avoir ouvert la porte à d’autres cochonneries qui n’étaient pas encore actives au moment du nettoyage avec AdwCleaner.
Un outil plus lourd est donc proposé pour éradiquer en profondeur tout ce qui risque d’être resté. A la cybercommune, on utilise ADSFix, avec moins d’enthousiasme qu’AdwCleaner, parce c’est plus technique et surtout beaucoup plus long.

Comme signalé déjà pour AdwCleaner, il peut arriver que l’infection empêche l’utilisation du programme. Voir alors plus bas le chapitre « démarrer en mode sans échec ».
On retrouve en gros le même processus qu’avec AdwCleaner, je limite donc les screenshots et n’aborde que le minimum :

On trouve le logiciel sur le site de SOS Virus, ainsi que sur le site de Toolslib (celui où l’on a trouvé déjà AdwCleaner, où il prend le nom de shortcut-module_30.12.2014.2.exe en cette fin d’année) .
Le site SOS Virus propose en outre leur tutoriel (août 2014) qu’il est préférable de suivre.

Pour une utilisation en situation d’urgence, où vous auriez un navigateur en distribil, voici des instructions minimales :

1- Télécharger le logiciel, exclusivement sur l’un des deux sites ci-dessus ;
2- Faites un clic droit de souris sur le fichier adsfix.exe, et choisissez l’option : « exécuter en tant qu’administrateur » ;
3- Message : « désactivez anti-virus et pare-feu, cliquez sur OK »… mais ne le faites pas maintenant ! Vous avez une fenêtre « mise à jour et Initialisation, merci de patienter », mais vous devrez patienter jusqu’à ce que vous ayez désactivé votre antivirus !
4- Déconnectez-vous d’internet ; désactiver anti-virus et pare-feu pour télécharger en mode administrateur, ça craint quand même ! Mais comme vous ne pourrez pas aller plus loin tant que vous n’aurez pas désactivé votre AV, coupez d’abord votre connexion internet (sur un portable en Wifi, il y a en général un bouton marche-arrêt). Évidemment, votre antivirus et Windows se mettent à hurler.
5- Nouveau message qui dit : « version expirée, téléchargement de la mise à jour », puis peu après cette fenêtre « Version à jour ». Comme vous n’êtes plus connecté, vous n’avez rien reçu, mais vous avez en principe la dernière version, puisque vous venez juste de télécharger le programme en (1). Un autre message demande si vous avez bien cliqué droit en tant qu’administrateur. Ces exigences réitérées sont cependant justifiées, car les échecs dans l’utilisation du soft semblent liées à leur non respect.
Cliquez sur l’exécutable, ADSFix s’ouvre :

adsfix_5-26- Vous voici sur l’interface d’ADSFix. Vous voyez plusieurs boutons dans la partie gauche de l’interface, cliquez sur Options (1). Et dans la liste déroulante, choisissez « débloquer la suppression ». Cela va permettre à AdsFix de supprimer les infections détectées.
adsfix_4b7- Allez maintenant sur Nettoyer (2). En cliquant dessus, vous commencez l’analyse. Ça va prendre longtemps, par ex. sur mon portable en dual-core avec 3Go de RAM, et un disque dur de 500 Go à moitié plein, ça a pris 2 heures et demi. Mais en cybercommune, j’ai vu plus long. Donc si vous avez un portable, branchez-le au secteur !
Au-dessous des boutons, se trouvent deux barres :

– la première est la barre de progression du scan, en vert (dès qu’il aura commencé) ;
– la barre du dessous indique, souvent trop vite pour que ce soit lisible, les fichiers examinés.

Le bloc central de l’interface, à droite des boutons, indique le pourcentage réalisé par le scan, le nombre de fichiers analysés, le nombre de fichiers modifiés (par ex. les instructions de la base du Registre falsifiées), et le nombre de fichiers infectés.
Mais vous pouvez aller déjeuner, ou faire votre jogging, le programme ne vous posera pas de questions auxquelles il faut répondre pour continuer, comme dans l’installation de Windows ! Et vous ne pouvez pas utiliser votre ordinateur jusqu’à ce que ce soit fini.
8- A la fin seulement, AdsFix demande : « voulez-vous laisser le programme envoyer les infections au labo pour les analyser », les infos ne sont pas divulguées et si vous acceptez cela permet d’améliorer le produit. Puis nouveau message : « Le programme doit redémarrer l’ordinateur pour finir le nettoyage ».
9- Après redémarrage, le rapport est en icône sur le bureau, en mode texte. Il suffit de cliquer dessus pour examiner le travail réalisé. Si vous n’y comprenez rien, tant pis, gardez-le quelque part où vous pourriez le retrouver.

C’est fini, vous êtes normalement vraiment débarrassé de vos infections.

Des incidents peuvent se produire en cours d’examen. Par exemple, le scan qui se bloque ; la relance du logiciel en respectant à la lettre toutes les recommandations a permis de réaliser entièrement l’analyse/suppression des infections, sur les 3 bécanes où ça s’est produit. Si vous n’y arrivez pas, vous pouvez vous faire aider gratuitement par un des membres de SOS Virus : Dans l’interface d’AdsFix, sous les boutons Options et Nettoyer utilisés à l’étape (5), il y en a un autre « Se faire aider sur SOS Virus ». Cliquer dessus pour faire votre requête. Si le scan s’est déroulé jusqu’à la réalisation du Rapport, il vous sera sûrement demandé de le joindre. Sinon, le programme enverra des informations directement, et le « helper » (aidant) vous en demandera d’autres pour comprendre ce qui s’est passé.

Démarrer en mode sans échec et autres astuces

Si l’infection est grave, elle peut empêcher les programmes de désinfection de s’exécuter.
Trois solutions sont alors possibles :

  1. la plus simple est de renommer le programme de désinfection. Cliquez droit sur l’exécutable (cad le fichier .exe), et donnez-lui un nom anodin, en conservant évidemment l’extension .exe. Par ex., renommez Adwcleaner.exe en zip.exe ou winlogon.exe. Puis essayez de le lancer avec ce nouveau nom. Cela peut marcher, si le malware dispose seulement d’une liste des principaux programmes de désinfection.
  2. La plus radicale consiste à utiliser un programme en LiveCD ou en bootUSB. Voir mon article : j’ai chopé un virus ou quoi ? Choisissez parmi la liste des programmes en LiveCD celui qui est le plus puissant/approprié, et téléchargez-le sur un ordinateur sain pour le graver. Ensuite bootez ce CD sur l’ordinateur à désinfecter.
  3. La plus courante consiste à démarrez en mode sans échec. La manière de procéder dépend de votre version de Windows (ou Linux). Pour Windows Vista et Seven, c’est en appuyant sur la touche F8 (ou parfois F5) au démarrage, juste avant le lancement de Windows, mais après la routine Bios. Je précise : On appuie de façon répétitive sur la touche F8, dès que l’écran de chargement du Bios disparaît, que l’écran est noir, et avant que le message de lancement de Windows ne s’affiche. C’est pas très évident à faire, parce que si on ne le fait pas au bon moment, ça ne marche pas : message d’erreur si c’est trop tôt, et démarrage de Windows qu’on ne peut plus arrêter, si c’est trop tard. N.B. C’est à faire à froid, en démarrant l’ordinateur ; pas en le redémarrant exprès pour.Pour Windows XP, vous trouverez la procédure sur Commentçamarche.Pour toutes les versions de Windows, Assiste.com donne toutes les explications et la procédure détaillée.

Il existe un autre moyen, quand on est sous Windows, qui est de passer par la commande « msconfig ». Assiste.com et d’autres sites déconseillent cette solution, qui risque de provoquer une boucle de redémarrage sans fin. Préférez donc la solution F8. Mais dans cette alternative à F8, on procède ainsi :
On tape simultanément les touches Windows et R (ou on fait : démarrer/exécuter/) et on tape : msconfig. On coche démarrage en mode diagnostic, et dans l’onglet de configuration on choisit les options minimales, sans réseau. Une fenêtre indique qu’il faut redémarrer.
Après redémarrage, votre écran d’accueil de Windows sera plus ou moins différent de ce qu’il est normalement, surtout sous XP. Mais vous devez maintenant pourvoir lancer votre programme de désinfection.
Attention ! Si vous n’êtes pas passé par F8, mais par msconfig, vous allez devoir relancer msconfig à la fin de l’opération, pour lui donner l’instruction de démarrer en mode normal, sinon, vous allez rester en mode sans échec…

 Faire un scan au démarrage avec son antivirus

Cette solution peut être réalisée à la place d’ADSFix, si on possède un antivirus qui le permet. A la cybercommune, où la plupart de nos usagers utilisent Avast ! en version gratuite, nous l’utilisons préférentiellement.
Se rendre dans l’interface d’Avast !, aller à la rubrique Scan, choisir Scan de Virus, et dans le menu déroulant, prendre l’option Scan au démarrage (1).

Avast ScanDans la même fenêtre, aller dans Paramètres (2), et choisir Corriger ou Quarantaine ou une autre option qui n’implique pas d’action de votre part. Si vous ne modifiez pas les paramètres par défaut du scan, Avast ! vous demandera quoi faire à chaque fois qu’il repérera une infection, par ex. « supprimer tout », qui ne supprimera « tout » que dans le dossier qu’il est en train d’analyser. On vous posera donc souvent la question, à laquelle vous devrez répondre (par un des chiffres de choix possibles), pour que le scan continue. C’est pour cela qu’il est préférable de ne pas choisir Demander… Comme ça vous avez le temps d’aller faire vos courses.

Avast paramétrageCliquez maintenant sur Démarrer (3). Si le bouton Démarrer est masqué, cliquer sur Paramètres, puis OK, ce qui le fera apparaître.

Avast DémarrerL’ordinateur redémarre, et Avast ! se lance juste avant le bureau Windows.
On se retrouve alors en mode DOS, écran noir sur lequel s’inscrivent en blanc un certain nombre d’infos, et notamment les fichiers analysés. Il y a aussi l’indication : « Appuyer sur la touche ESC pour sauter l’analyse ». Ce qui est rassurant, car s’il ne trouve rien, cela peut ne prendre qu’une demi heure, mais sinon ça peut durer 2 ou 3 heures pour aller jusqu’au bout !
Pour l’avoir utilisé à la cybercommune sur un appareil très infecté, je peux affirmer qu’Avast ! gratuit s’est montré très puissant, détectant bien sûr adwares et autres PUP, mais aussi des exploits, des droppers, et des rootkits.
Une fois qu’il a terminé, on a un redémarrage de l’ordinateur, pour éradiquer toutes les cochonneries résidentes.
Le rapport ne s’ouvre pas tout seul, et n’est pas non plus sur le bureau. Il faut aller le chercher dans le dossier où Avast ! est installé, en principe : C :\ProgramData\Avast Software\Avast\report\aswboot.txt

Si ça ne suffisait pas ou pour aller encore plus loin

Ce que je propose dans cet article est efficace, je l’ai vérifié. Mais je ne peux évidemment pas prétendre que ça marche à tous les coups, d’autant plus que les auteurs de programmes malicieux ont la malice d’inventer de nouvelles façons de nous infecter.
Alors si ça n’a pas marché, il faut aller sur les forums spécialisés sur les questions de sécurité. Non ! Mon Coin Numerique n’en fait pas partie…
Par ailleurs, je me suis limité au strict nécessaire pour lancer une désinfection d’urgence. Il ne faut pas hésiter non plus à fréquenter les sites spécialisés pour en apprendre davantage.

Forums d’aide à la désinfection

Pour ceux qui ne fréquentent pas la cybercommune ou un autre EPN, et qui se retrouvent avec un ordi en vrac :

Vous pouvez trouver d’autres forums d’aide : ceux de PC Astuces, de Zébulon, de Security X., parmi ceux que je connais. Mais faites attention à ne pas aller n’importe où, car il existe de mauvais sites là aussi !

Autres programmes de désinfection

Il existe bien entendu d’autres programmes utilisables, par ex. Junkware Removal Tool, qui semble de même type d’AdwCleaner, RogueKiller, qui a été élaboré pour les rogues, mais qui traite tous les faux programmes de sécurité, les faux nettoyeurs, et bien plus : rootkits et bootkits, etc. (voir le site d’Adlice.com/fr). Et bien sûr il faut citer HijackThis, célèbre mais maintenant obsolète, et pour finir ComboFix, qui est cousin de ADSFix (même site).
Deux autres programmes peuvent enfin être signalés : ZHPDiag, qui remplace HijackThis, et qui fera un diagnostic complet que les sites d’aide à la désinfection peuvent vous réclamer ; et Delfix, pour supprimer les traces restantes laissées par les outils de désinfection.
Je ne mets pas les liens, car tous ces outils peuvent être trouvés sur les sites de SOS Virus, de Malekal, d’Assiste, ou de Toolslib.

Mais les meilleures protections sont :
1) une suite de sécurité, c’est à dire un antivirus couplé à un pare-feu efficace. Il peut agir, on l’a vu, de façon curative, mais évidemment il vaut mieux prévenir que guérir. C’est pourquoi il faut prendre le temps de bien le paramétrer, et non pas seulement de l’installer et de le laisser fonctionner par défaut, en oubliant qu’il existe.
2) installez et utilisez de temps en temps Malwarebytes Anti-Malware (MBAM), au moins en version gratuite, même si la version payante (« premium ») offre une protection réellement supérieure. Il est très puissant et complète bien la protection de l’antivirus, en s’attaquant notamment aux logiciels espion (spywares), aux chevaux de Troie (trojans), aux vers, rootkits, etc.
3) adoptez désormais une attitude prudente, lisez toujours soigneusement les fenêtres pop-up d’installation des programmes, ne souscrivez qu’à l’indispensable, établissez des « points de restauration » pour pouvoir revenir en arrière… et acceptez de vous informer/former sur la sécurité informatique, car un homme averti en vaut deux.