Sécurité gM

Procédure de pré-nettoyage

Les virus, troyens, spywares, adwares et autres malwares sont devenus de plus en plus sophistiqués et parfois coriaces à éradiquer et il est apparu nécessaire de dérouler cette procédure de pré-nettoyage du système de manière à éliminer tous les petits nasties et déblayer le terrain avant les choses sérieuses.
Même sur système propre, cette procédure ne sera pas superflue !
Les caractéristiques de cette pré-procédure sont légèreté, rapidité et efficacité (pas d'opération lourde et longue pour des résultats rapides) :
-1- en mode normal - téléchargement des outils nécessaires (AntiVir et HijackThis)
-2- redémarrage en mode sans échec pour ne plus avoir en mémoire, les processus infectieux qui contrent les opérations - affichage en mode technique
-3- suppression des fichiers inutiles, qui ralentissent les scans et qui comportent souvent, des malwares
-4- scan par Antivir (installation, paramétrage, scan suivi de désinstallation ; AntiVir est léger, facile à mettre à jour et efficace)
-5- préparation d'un rapport HijackThis en mode normal et post sur le forum pour analyse par un Conseiller en Sécurité
-6- rétablissement des choses modifiées.

-0- effectuer un copier-coller des instructions ci-dessous dans un fichier texte pour y avoir accès même hors connexion (mode sans échec)

-1- en mode normal, télécharger les outils nécessaires
- télécharger Antivir sur http://www.free-av.com/. Ce téléchargement récupère un programme à jour de ses définitions de virus.
Il est impératif de paramétrer correctement AntiVir en suivant les directives de tesgaz http://speedweb1.free.fr/frames2.php?page=tuto5
Le choix d'Antivir a reposé sur les critères suivants :
--- l'infection du système dénote une insuffisance de votre antivirus
--- Antivir peut-être installé et désinstallé facilement
--- Antivir est reconnu pour son efficacité en mode sans échec
--- le tutorial de tesgaz permet de le paramétrer sans problème
- télécharger la dernière version d'HijackThis sur http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html

-2- redémarrer impérativement en mode sans échec (n'ayant pas accès à Internet, vous aurez préalablement copié ces instructions dans un fichier texte)
- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, un écran noir apparaît rapidement / tapoter la touche [F8] ou [F5] jusqu'à affichage du menu de démarrage / sélectionner "Mode sans échec" et appuyer sur [Entrée].
N.B.: en cas de problème, appliquer la procédure "Comment démarrer l'ordinateur en mode sans échec" de Symantec http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924
- à l'ouverture de session, choisir la session courante (et non celle de l'administrateur)
- démarrer l'explorateur Windows et se mettre en affichage technique :
Menu Outils / Options des dossiers / onglet Affichage / sélectionner "Afficher les fichiers et dossiers cachés" / décocher la case "Masquer les extensions des fichiers dont le type est connu" / décocher la case "Masquer les fichiers protégés du système d'exploitation" / cliquer sur "Appliquer" / cliquer sur "Appliquer à tous les dossiers" / OK

-3- suppression des fichiers inutiles
- nettoyage rapide du disque dur
Démarrer / Exécuter / taper CleanMgr et cliquer sur OK / OK pour accepter l'examen du disque C: / cocher toutes les cases sauf "Compression des fichiers non utilisés" et "Fichiers catalogue d'indexation du contenu" et OK / OK pour valider la suppression des fichiers inutiles
CleanMgr génére parfois un bug sous Windows 2000, effectuer alors un nettoyage manuel :
--- suppression de tous les fichiers contenus dans les dossiers
C:\Temp
C:\Windows\Temp
C:\Documents and Settings\-session-utilisateur-\Local Settings\Temp
C:\Documents and Settings\-session-utilisateur-\Local Settings\Temporary internet files
--- Vider la corbeille

-4- scan par Antivir
- paramétrer Antivir : il est impératif de paramétrer correctement AntiVir en suivant les directives de tesgaz http://speedweb1.free.fr/frames2.php?page=tuto5
- rechercher et éliminer les parasites avec Antivir
Lancer un scan complet des disques durs et supprimer tous les fichiers infectés trouvés
- désinstaller Antivir
--- terminer les processus suivants dans le gestionnaire des tâches (Ctrl-Alt-Suppr pour ouvrir la fenêtre / onglet Processus / sélectionner ce processus puis liquer sur Terminer le processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE
--- désinstaller Antivir par Ajout/Suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra alors de désinstaller proprement

-5- préparation d'un rapport HijackThis en mode normal
- redémarrer le PC en mode normal
- installer HijackThis dans un dossier dédié, par exemple C:\Program Files\HijackThis
--- créer un nouveau dossier C:\Program Files\HijackThis (double cliquer sur Poste de travail / double cliquer sur l'icône de C: / double cliquer sur Program Files / clic droit dans la fenêtre / Nouveau dossier et le nommer HijackThis) ; dézipper le programme téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
N.B.: surtout, ne pas installer HijackThis dans un répertoire de fichiers temporaires car ceci compromettrait les backups
- fermer toutes les fenêtres
- lancer HijackThis et cliquer sur "Do a system scan and save a logfile"
- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis
N.B.: en cas de problème, appliquer le Tutorial de BipBip http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec ses copies d'écran
- ouvrir le rapport HijackThis précédemment sauvegardé / Ctrl-A puis Ctrl-C / Ctrl-V pour le coller dans un nouveau post sur le forum "Analyse rapports HijackThis, Eradication malwares" de manière à ce que nous vous disions ce qu'il faut faire.
- attendre l'analyse et la réponse d'un Conseiller en Sécurité.

-6- rétablissement des choses modifiées
Sauf si vous voulez poursuivre avec nous, remettre les choses dans leur état initial :
- remettre l'affichage utilisateur dans l'Explorateur Windows
- désinstaller les programmes (Antivir et HijackThis).