Sécurité gM

* Nettoyage d'une infection MalWare

(basé sur un log HJT, sur un forum, par un conseiller en sécurité)

----- posts #1 - #1bis -----
-1- bienvenue ! calmer, rassurer et tranquilliser ; expliquer la procédure
-2- demander des détails sur les symptômes et les dysfonctionnements
-3- demander l'application de la procédure de pré-nettoyage (nettoyage rapide / AntiVir en mode sans échec puis désinstallation / rapport HJT) en insistant sur son importance et le nécessaire paramétrage correct d'AntiVir (éventuel nouveau rapport HJT) !
-4- vérifier la version des programmes et l'emplacement d'HijackThis si on a déjà un rapport HJT.
-5- ce premier post a aussi pour but d'annoncer qu'on démarre une analyse du rapport HijackThis (qui va durer un certain temps) et qu'un autre analyste ferait mieux de prendre en charge d'autres problèmes !
----- posts #2 - #2bis -----
-1- commencer par une introduction avec explications :
--- le doigt sur des failles de sécurité du système (Windows Update, pare-feu, antivirus), mais on rétablira çà plus tard !
--- vérification de la version des programmes et de l'emplacement du programme HijackThis
--- explications succintes sur ce qui va être fait (des explications détaillées seront mises à chaque étape)
--- demande d'information sur les changements (à chaque étape) et invitation à réclamer des éclaircissements
-2- demander le téléchargement des outils qui seront utilisés (installation et mise à jour tant qu'on est connecté à l'Internet) : EZcleaner, ATF Cleaner, Ewido
-3- détecter les grosses infections caractéristiques en parcourant rapidement le rapport et si présentes, faire lancer une première procédure de traitement spécifique pour dégager le terrain (un antidote est toujours mieux qu'un nettoyage manuel) et demander un nouveau rapport HJT.
-4- conseiller l'impression ou mieux, la sauvegarde de la procédure dans un fichier html (plus d'accès en mode sans échec).

-5- redémarrer en mode sans échec
-6- désinstaller les applications infectieuses (Ajout/Suppression de programmes ou fonction de désinstallation de Démarrer / Tous les programmes)
-7- traiter les services infectieux : arrêt, désactivation (console services), suppression (HJT ou SC)
-8- traiter le rapport HJT : lancer un scan HJT / cocher les lignes à éliminer / fermer tous les programmes sauf HJT, puis "Fix Checked"
-9- afficher les fichiers en mode technique (Détails et affichage de tous les fichiers yc système)
-10- supprimer manuellement les fichiers/dossiers infectieux signalés par HJT (fichiers à nom aléatoire non trouvés ; dll à désenregistrer)
-11- lancer Ewido pour trouver d'autres éléments infectieux et supprimer tous les éléments signalés avec création d'un rapport
-12- lancer un nettoyeur de disque et un nettoyeur de base de registres (EZcleaner -inutile(s), EZcleaner -registre, ATFcleaner)
-13- annoncer la suite :
--- redémarrage de l'ordinateur en mode normal
--- post des rapports préparés (outils spécifiques, Ewido)
--- création d'un nouveau rapport HJT à poster sur le forum
--- demande d'information sur les dysfonctionnements
--- lancement d'un scan antivirus pendant l'examen des rapports (votre AV habituel ou HouseCall de Trend Micro).
----- post #3 -----
- il est nécessaire d'obtenir un rapport HJT propre et un Okay-infection de la part de l'internaute et du conseiller
-1- donner les conclusions quant à l'infection suite à l'examen des rapports postés (outils, Ewido, HJT, AV)
-2- demander d'éventuelles opérations complémentaires de nettoyage avec nouveau rapport HJT si le traitement utilise un Fix checked.
----- post #4 ----- (rapport HJT propre et plus de dysfonctionnements)
-1- remonter les fichiers et informations correspondant à des malwares nouveaux aux développeurs concernés
-2- nettoyer le système de restauration ME/XP
-3- rétablir les choses dans leur état initial : affichage en mode utilisateur, enlèvement des traces par désinstallation des outils utilisés et de leur rapport
-4- on peut poursuivre par un examen des répertoires sensibles : System32, Program Files, Ajout/Suppression de programmes, Démarrer / Programmes, etc.

-5- fournir des explications sur les failles et les causes de l'infection
-6- mettre/remettre en place les protections fautives : Windows Update, pare-feu, antivirus, autres modules techniques (Java, AcroRead...), etc.
-7- prodiguer le discours de prévention
-8- inciter l'utilisateur à diffuser la bonne parole autour de lui.

-9- inviter l'internaute à un témoignage sur MalWare Complaints.