[color=#009900][b]Nettoyage d'une infection MalWare[/b][/color] (basé sur un log HJT, sur un forum, par un conseiller en sécurité) [color=#009900]----- [b]posts #1 - #1bis[/b] -----[/color] -1- [b]bienvenue[/b] ! calmer, rassurer et tranquilliser ; expliquer la procédure -2- demander des [b]détails[/b] sur les symptômes et les dysfonctionnements -3- demander l'application de la [url=IT-antiMW-preproc.html][b]procédure de pré-nettoyage[/b][/url] (nettoyage rapide / AntiVir en mode sans échec puis désinstallation / rapport HJT) en insistant sur son importance et le nécessaire paramétrage correct d'AntiVir (éventuel nouveau rapport HJT) ! -4- vérifier la [b]version[/b] des programmes et l'[b]emplacement[/b] d'HijackThis si on a déjà un rapport HJT. -5- ce premier post a aussi pour but d'annoncer qu'[b]on démarre une analyse[/b] du rapport HijackThis (qui va durer un certain temps) et qu'un autre analyste ferait mieux de prendre en charge d'autres problèmes ! [color=#009900]----- [b]posts #2 - #2bis[/b] -----[/color] -1- commencer par une [b]introduction[/b] avec explications : --- le doigt sur des [b]failles de sécurité[/b] du système (Windows Update, pare-feu, antivirus), mais on rétablira çà plus tard ! --- vérification de la [b]version[/b] des programmes et de l'[b]emplacement[/b] du programme HijackThis --- [b]explications[/b] succintes sur ce qui va être fait (des explications détaillées seront mises à chaque étape) --- demande d'information sur les [b]changements[/b] (à chaque étape) et invitation à réclamer des [b]éclaircissements[/b] -2- demander le [b]téléchargement[/b] des outils qui vont être utilisés avec leur installation et leur mise à jour (tant qu'on est connecté à l'Internet) : [url=http://personal.inet.fi/business/toniarts/ecleane.htm]EZcleaner[/url], [url=http://www.atribune.org/ccount/click.php?id=1]ATF Cleaner[/url], [url=http://www.ewido.net/en/download/]Ewido[/url] -3- détecter les [b]grosses infections[/b] caractéristiques en parcourant rapidement le rapport et si présentes, faire lancer une première procédure de [b]traitement spécifique[/b] pour dégager le terrain (un antidote est toujours mieux qu'un nettoyage manuel) et demander un nouveau rapport HJT. -4- conseiller l'impression ou mieux, la sauvegarde de la [b]procédure dans un fichier html[/b] (plus d'accès en mode sans échec). -5- redémarrer en [b]mode sans échec[/b] -6- désinstaller les [b]applications[/b] infectieuses (Ajout/Suppression de programmes ou fonction de désinstallation de Démarrer / Tous les programmes) -7- traiter les [b]services[/b] infectieux : arrêt, désactivation (console services), suppression (HJT ou SC) -8- [b]traiter le rapport HJT[/b] : lancer un scan HJT / cocher les lignes à éliminer / fermer tous les programmes sauf HJT, puis "Fix Checked" -9- afficher les fichiers en [b]mode technique[/b] (Détails et affichage de tous les fichiers yc système) -10- supprimer manuellement les [b]fichiers/dossiers infectieux[/b] signalés par HJT (fichiers à nom aléatoire non trouvés ; dll à désenregistrer) -11- lancer [b]Ewido[/b] pour trouver d'autres éléments infectieux et supprimer tous les éléments signalés avec création d'un rapport -12- lancer un [b]nettoyeur de disque[/b] et un [b]nettoyeur de base de registres[/b] (EZcleaner -inutile(s), EZcleaner -registre, ATFcleaner) -13- annoncer la suite : --- redémarrage de l'ordinateur en [b]mode normal[/b] --- post des [b]rapports préparés[/b] (outils spécifiques, Ewido) --- création d'un [b]nouveau rapport HJT[/b] à poster sur le forum --- demande d'[b]information[/b] sur les dysfonctionnements --- lancement d'un scan [b]antivirus[/b] pendant l'examen des rapports (votre AV habituel ou [url=http://fr.trendmicro-europe.com/consumer/housecall/housecall_launch.php]HouseCall[/url] de Trend Micro). [color=#009900]----- [b]post #3[/b] -----[/color] - il est nécessaire d'obtenir un [b]rapport HJT propre[/b] et un Okay-infection de la part de l'internaute et du conseiller -1- donner les [b]conclusions[/b] quant à l'infection suite à l'examen des rapports postés (outils, Ewido, HJT, AV) -2- demander d'éventuelles opérations complémentaires de nettoyage avec nouveau rapport HJT si le traitement utilise un Fix checked. [color=#009900]----- [b]post #4[/b] -----[/color] (rapport HJT propre et plus de dysfonctionnements) -1- [b]remonter les fichiers et informations[/b] correspondant à des malwares nouveaux aux développeurs concernés
-2- nettoyer le [b]système de restauration ME/XP[/b] -3- rétablir les choses dans leur [b]état initial[/b] : affichage en mode utilisateur, enlèvement des traces par désinstallation des outils utilisés et de leur rapport -4- on peut poursuivre par un examen des [b]répertoires sensibles[/b] : System32, Program Files, Ajout/Suppression de programmes, Démarrer / Programmes, etc. -5- fournir des [b]explications[/b] sur les failles et les causes de l'infection -6- mettre/remettre en place les [b]protections fautives[/b] : Windows Update, pare-feu, antivirus, autres modules techniques (Java, AcroRead...), etc. -7- prodiguer le [url=IT-antiMW-securite.html][b]discours de prévention[/b][/url] -8- inciter l'utilisateur à diffuser la [b]bonne parole[/b] autour de lui. -9- inviter l'internaute à un témoignage sur [url=IT-antiMW-MWC.html][b]MalWare Complaints[/b][/url].