Comment éliminer manuellement virus trojan?

Fermé
ballag Messages postés 70 Date d'inscription vendredi 13 mars 2009 Statut Membre Dernière intervention 7 décembre 2010 - 28 août 2009 à 11:50
RClog Messages postés 6330 Date d'inscription jeudi 11 septembre 2008 Statut Membre Dernière intervention 28 octobre 2014 - 28 août 2009 à 20:03
Bonjour,
Bonjour,
Mon pc est chroniquement infecté à cause de hackers rivaux politiques profitant de ma nullité en informatique.Comme solution j'ai souvent recours aux logiciels anti-virus et spywares pour faire le job à ma place mais souvent le logiciel me dit de continuer la désinfection manuellement.Comme cela aura été le cas avec ce virus qui se multiplie "win32.induct", le programme m'a dit d'aller chercher TOUS les autres fichiers sûrement infectés aussi et de les supprimer manuellement moi même.Mais je ne sais pas COMMENT FAIRE!Pourriez vous donc m'expliquer étape par étape la méthode à suivre pour supprimer MANUELLEMENT win32 ou tout autre virus ou trojan de manière général? Aucun logiciel ne peut remplacer l'intelligence de l'homme et je voudrais compter compter sur moi même pour compléter le travail automatique des programmes.Merci de me montrer la voie MANUELLE à suivre donc.

11 réponses

RClog Messages postés 6330 Date d'inscription jeudi 11 septembre 2008 Statut Membre Dernière intervention 28 octobre 2014 1 434
28 août 2009 à 12:09
Bonjour

la manoeuvre consiste à repérer les fichiers infecté à l'aide de logiciels antivirus et antispywares.

de relever les chemin d'accès des fichiers infectés et des clé de registre infectées.

D'empêcher les fichier .exe infectés de se lancer automatiquement à l'aide d'un programme tel que Hijackthis. et d'effacer les fichiers qui sont en général assez récalcitrants. Il y a également la possibilité d'utiliser un logiciel tel que "Unlocker" qui permet d'effacer un fichier au démarrage du PC, c'est à dire avant qu'il ne se lance et refuse par la même occasion de s'effacer.

Une fois que l'infection n'est plus active, faire le ménage dans les clé de la base de registre avec un Logiciel tel que CCleaner qui se chargera d'effacer les clé obsolètes.
0
ballag Messages postés 70 Date d'inscription vendredi 13 mars 2009 Statut Membre Dernière intervention 7 décembre 2010 2
28 août 2009 à 12:51
Je reviens de nouveau à la charge car j'aimerais bien trouver la réponse à la question de savoir comment supprimer MANUELLEMENT les fichiers infectés?
Pourrait-on m'expliquer svp cela étape par étape? Merci d'avance.
0
RClog Messages postés 6330 Date d'inscription jeudi 11 septembre 2008 Statut Membre Dernière intervention 28 octobre 2014 1 434
28 août 2009 à 12:52
je viens d'y répondre
0
ballag Messages postés 70 Date d'inscription vendredi 13 mars 2009 Statut Membre Dernière intervention 7 décembre 2010 2
28 août 2009 à 12:57
OK Rclog, mais j'ai encore 2 précisions à te demander:

Primo: quel logiciel antispyware relevant les chemins des virus me recommanderais-tu?

secundo: une fois les chemins connus pourrais en t'aidant d'un EXEMPLE concret même fictif me montrer la voie à suivre pour d'abord RETROUVER la clé de registre et ensuite la SUPPRIMER?

juste ces 2 précisions s'il te plait car je suis nul en pc.Merci d'avace Rclog.
0
RClog Messages postés 6330 Date d'inscription jeudi 11 septembre 2008 Statut Membre Dernière intervention 28 octobre 2014 1 434
28 août 2009 à 13:02
Pour les spywares le plus efficace est encore Malwaresbyte's qui se charge aussi de certains virus.

Il a l'avantage de pouvoir générer un rapport lisible qui donne les chemins de fichier et les clé de registre infectées > voir un exemple du rapport sur ce post > https://forums.commentcamarche.net/forum/affich-14112923-probleme-avec-mon-antivirus#5

On vois nettement les clés infectées ainsi que le chemin des fichiers infectés ainsi que leur nom.

Spybot fait aussi la même chose, mais beaucoup moins efficace.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
ballag Messages postés 70 Date d'inscription vendredi 13 mars 2009 Statut Membre Dernière intervention 7 décembre 2010 2
28 août 2009 à 13:15
OK Rclog, je commence à piger un peu mais pour mieux comprendre la méthode manuelle je vais m'aider de 2 exemples concrets tirés du rapport ci bas:
Soit comment retrouver par exemple C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP344\A0094743.exe ?
ou alors comment retrouver par exemple: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) ?

2 ILLUSTRATIONS CONCRETES et j'aurais TOUT COMPRIS ENFIN!C'est cela mon problème, n'oublie ^pas que je suis nul en PC! MERCI
*****************
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\HP_Administrateur.NOM-FB9B15D2723\Bureau\ZwinkySetup2.3.50.49.ZJfox000.exe (Adware.MyWeb) -> No action taken.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP344\A0094743.exe (Adware.BHO) -> No action taken.
C:\WINDOWS\system32\adsmsexti.exe (Trojan.Downloader) -> No action taken.
0
RClog Messages postés 6330 Date d'inscription jeudi 11 septembre 2008 Statut Membre Dernière intervention 28 octobre 2014 1 434
28 août 2009 à 14:02
Pour > C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\R­P344\A0094743.exe ?

tu ne pourras probablement pas le trouver, c'est un fichier inclus dans une restauration système. Donc il faut avoir accès à la restauration : 512DF77D-45B5-4AE1-9C2A-EC48B0F584C1.

Il existe un programme qui permet de supprimer un seul point de restauration, il s'agit de "RestaurWin" > https://www.clubic.com/telecharger-fiche43171-restorwin.html

Ce programme permet de connaitre le point de restauration exact à supprimer, il suffit de sélectionner d'un clic de souris les points de restauration affichés, le numéro s'affiche dans la colonne de droite. lorsque tu as trouvé le bon (infecté) tu le supprimes et le tour est joué.

L'autre méthode plus radicale, consiste à désactiver la restauration système, ce qui va effacer tous les points de restauration et donc virer le coupable; mais dans ce cas, tous les points de restaurations sont perdus.

Pour > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify

C'est une clé qui semble avoir désactivé l'antivirus, pour y avoir accès, il faut aller dans la base de registre :

Cliquer sur démarrer > Exécuter et saisir "regedit" sans les guillemets.

L'éditeur de registre va s'ouvrir

Ensuite il suffit de déployer pas à pas l'arborescence.

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Security Center
AntiVirusDisableNotify

En général une fois le virus inactif, il suffit de remettre la valeur à 0 au lieu de 1 pour que l'antivirus puisse être relancé.

et c'est pareil pour les autres clé du même type.

Par-contre pour celle-ci > HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs)

La valeur que j'ai mis en italique est la mauvaise, l'autre est la bonne.

fystemroot au lieu de SystemRoot

Il faut donc faire très attention de ne pas supprimer n'importe quoi, c'est pourquoi il est parfois déconseillé de toucher à la base de registre et de laisser faire les logiciels adaptés.

Normalement quand un fichier .exe se lance automatiquement, c'est grâce à une clé de registre, si déjà tu arrives à l'empêcher de démarrer, tu isoles une partie de l'infection.

Avec un logiciel comme Hijackthis, qui permet de voir par exemple les processus lancés, si tu as le nom du fichier .exe, il suffit de cocher la ligne et de cliquer sur Fix Checked, pour isoler le fichier. Ensuite il est normalement effaçable après avoir relancé le PC.

Toutefois, certains fichiers permettent de régénérer les autres, d'où l'intérêt de bien cerner l'infection afin de bien tout isoler.

Comme tu vois ce n'est pas très simple et quand les outils adéquats le permettent, il vaut mieux les utiliser .
0
ballag Messages postés 70 Date d'inscription vendredi 13 mars 2009 Statut Membre Dernière intervention 7 décembre 2010 2
28 août 2009 à 18:40
Rclog, merci mais j'ai encore 2 petits problèmes:
-1)j'ai essayé de télécharger "RestaurWin" mais il se présente toujours sous forme de Winrar et je n'ai pas de licence pour ce produit (winrar) comment faire donc pour ouvrir autrement ce logiciel même si on n'a pas de licence Winrar comme moi?C'est un problème que je rencontre souvent en téléchargeant certains logiciels et je n'ai jamais pu surmonter cette difficulté simple pourtant à mon avis.

-2)Pour la solution radicale, j'aimerais bien savoir comment DESACTIVER la RESTAURATION du système et en quoi cela serait une solution aussi? tu m'en expliqueras le principe et surtout la METHODE aussi.

Pourrais-tu m'éclairer sur ces 2 points s'il te plait soit ouvrir Winrar sans licence et désactiver la restauration du système pour me résumer?
Merci
0
crapoulou Messages postés 28161 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
28 août 2009 à 18:44
Salut,
Il faudra purger la restauration système de toute façon (méthode 2) en fin de désinfection.
0
RClog Messages postés 6330 Date d'inscription jeudi 11 septembre 2008 Statut Membre Dernière intervention 28 octobre 2014 1 434
Modifié par Jeff le 22/04/2013 à 22:30
Bon en fait, RestauWin est livré sous forme de fichier ZIP à décompresser dans un dossier du disque dur.

Quand tu as ce genre de fichier, le plus simple est d'utiliser un logiciel de décompression gratuit.

Commence par télécharger 7Zip qui est un programme libre et installe le > https://www.commentcamarche.net/telecharger/utilitaires/2197-7-zip/

ensuite tu crées par exemple un dossier nommé "Unzip" dans C:\ ce dossier te permettra de dézipper tous les fichiers zip.

Tu fais un clic droit sur le fichier de restorwin.zip (ce n'est pas le bon nom, mais c'est pareil) et tu verras dans le menu contextuel > 7Zip > Extraire les fichiers tu cliques dessus, une fenêtre va s'ouvrir pour te permettre de choisir le cible.

dans notre cas, on va luis donner le chemin du dossier "Unzip" que l'on vient de créer> C:\Unzip
Il suffit d'explorer le disque dur à l'aide du bouton qui se trouve à droite de la fenêtre de saisie du chemin de fichier.

Puis on clique sur OK

Le fichier .zip va se décompresser dans le dossier "Unzip" tu devrais avoir un dossier nommé "RestorWin" et à l'intérieur de ce dossier 3 fichiers : langues.ini , README.TXT , RestorWin.exe

On remarque dans ce cas que ce logiciel n'a pas besoin d'être installé. il suffit de faire un double clic sur le fichier RestorWin.exe pour lancer le logiciel.

Tu peux ensuite ranger le dossier RestorWin dans ProgramFiles par exemple en faisant un Coupé / Collé , puis faire un raccourci de RestorWin.exe vers le bureau.

Voilà si tu n'as pas compris quelque chose, n'hésite pas.

Pour désactiver la restauration :

Tu appuies sur la touche Windows et sur la touche Pause en même temps, tu obtiens la fenêtre "Propriétés Système" tu peux aussi faire autrement :

Démarrer > Panneau de configuration > Icône Système

Une fois que tu es dans cette fenêtre tu vas sous l'onglet "Restauration Système et tu verras une case qu'il suffit de cocher pour désactiver la restauration.

Attention, comme je l'ai déjà dit, ça efface tous les points de restauration.
0
ballag Messages postés 70 Date d'inscription vendredi 13 mars 2009 Statut Membre Dernière intervention 7 décembre 2010 2
28 août 2009 à 19:47
OK Rclog, et si je désactive la restauration tous mes problèmes seraient réglès et comment donc expliquerais tu cela pour le novice que je suis?
En quoi la désactivation aurait-elle des effets RETROACTIFS, c'est ce que je n'arrive tjrs pas à comprendre même si je sais que tu dois en avoir l'explication.Mais laquelle donc pour ma curiosité?

Pour Winrar, je ferai comme tu m'as dit ce ne doit pas être insurmontable, enfin je l'espère bien car le moindre pépin peut bloquer le novice que je suis.
J'attendrai donc tes explications sur tout cela et MERCI.
0
RClog Messages postés 6330 Date d'inscription jeudi 11 septembre 2008 Statut Membre Dernière intervention 28 octobre 2014 1 434
28 août 2009 à 20:03
non, désactiver la restauration n'éliminera pas un virus qui aura infecté un PC, mais il est conseillé de la désactiver afin d'éliminer les fichiers vérolés qui auraient infecté la restauration. ça évite seulement que le virus ne se régénère pars le biais de celle-ci.
0