Dans cet article, j’explique le principe des désinfections manuelles qui s’effectuent généralement sur les forums.
Cela peut servir aux geek de la famille à qui on ramène les Windows malades.
Le but est de bien comprendre sur quoi repose ces désinfections de virus et comment procéder.
Ceci est donc une illustration des désinfections faites à partir de l’utilitaire FRST.
Cette page est donc à destination des personnes à l’aide en informatique et ayant une connaissance minimale en informatique et Windows.
Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
Table des matières [masquer]
Principe
Avant d’entrer dans le vif du sujet, il faut comprendre sur quoi repose ces désinfections.Tout d’abord, nous allons juste rappeler de quoi est composé un logiciel malveillant.
- Une partie active, c’est le processus en mémoire actif qui effectue les actions, ce pourquoi, le logiciel malveillant a été conçue. Ce processus peut prendre la forme d’un .exe ou d’une DLL
- L’utilisation d’un point de chargement de Windows, cela permet au virus informatique de se charger à chaque démarrage de Windows. Il existe beaucoup de point de chargement sur Windows.
FRST est un programme qui effectue un analyse de Windows et génère des rapports.
Ces rapports contiennent des points de chargements de Windows, les processus en cours d’exécution, une partie des DLL chargées en mémoire, les derniers fichiers modifiés dans le système et bien d’autres données.
A partir, d’une analyse de ces informations, il est possible de trouver certains logiciels malveillants et de les éradiquer.
La suppression se fait à partir d’un script de correction que l’on fournit à FRST et qui indique les fichiers, clés et autres éléments à supprimer de Windows.
Pour les plus anciens des internautes, il s’agit du même principe que le fameux HijackThis qui est devenu trop limité sur le contenu de l’analyse système et plus maintenu.
Avec une bonne pratique, les avantages sont de pouvoir vérifier et
supprimer les virus qui ne sont pas détectés par les programmes
traditionnels : RogueKiller, ZHPCleaner, AdwCleaner, Malwarebytes-Anti Malware.On se rapproche plutôt des outils proposés sur cette page : Comment vérifier si ordinateur a été hacké ou piraté ?
A travers l’analyse des processus en cours de chargement et des points de chargement de Windows.
L’inconvénient concerne ceux qui ne veulent pas avoir à réfléchir et passer des outils automatiques.
pjjoint est l’outil idéal, ce dernier permet d’analyser les rapports FRST, ainsi vous pouvez avoir déjà un aperçu à travers une base de données recensant les programmes légitimes.
Analyse rapport FRST
Quelques informations sur les rapports FRST et leur composition.Les rapports FRST sont composés de trois rapports (si vous cochez bien les options comme indiqué dans le tutoriel FRST)
- FRST.txt : contient les processus, clés RUN, informations navigateurs WEB, pilotes et derniers fichiers modifiés
- Addition.txt : liste les programmes installés, les tâches planifiées
- En rouge gras : connus pour être malveillant
- En rouge : détection générique afin d’attirer l’attention, pas forcément malveillant mais peut l’être
- En vert : légitime
- En gris : pas de statut
FRST.txt
L’en-tête fournit les informations du rapport FRST.txt, l’utilisateur Windows et les versions de Windows.puis la liste des processus en cours d’exécution durant le scan FRST.
Vient ensuite les clés Run et startup.
On peut aussi y trouver les clés IFEO.
puis la configuration des navigateurs WEB, listant les extensions installées.
puis les services Windows et pilotes.
les derniers fichiers modifiés ou créés, sur un mois.
Enfin le rapport FRST se termine par les hashs de fichiers systèmes afin de détecter d’éventuel patch.
FRST indique si les fichiers systèmes sont signés numériquement.
Si l’option BCD a été coché, le contenu du BCD est donné.
Addition.txt
Les rapports Addition.txt ne sont pas évalués par pjjoint.Voici l’en-tête du rapport Addition.txt assez similaire à FRST.txt
puis on enchaîne sur les informations utilisateurs, ainsi que les antivirus installés.
Du moins, la liste retournée par Windows (qui peut-être fausse).
puis la liste des programmes installés dans Windows.
puis les raccourcis, souvent modifiés par des Browser Hijacker pour forcer des moteurs de recherche.
Les modules chargés dans explorer.exe
Puis les tâches planifiées de Windows.
Pour les raccourcis, vous pouvez générer un fichier Shortcut.txt qui liste tous les raccourcis et permet de récupérer les raccourcis Windows modifier afin de faire lancer un moteur de recherche en particulier. Exemple launchpage.org où on voit que Shortcut.txt en liste beaucoup plus :
puis d’autres infos dont un aperçu du fichier HOSTS de Windows qui peut-être modifiés (Hijack.HOSTS).
On trouve aussi les informations DNS.
et les entrées mconfig, si l’utilisateur a désactivé certains programmes au démarrage de Windows.
les règles du pare-feu de Windows
Quelques informations comme les points de restauration de Windows, puis les périphériques non installés (gestionnaires de périphériques) et certains contenu de l’observateur d’événements de Windows.
Enfin la configuration matérielle de l’ordinateur.
Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
Désinfection virus
Aidez vous de pjjoint pour analyser les rapports FRST.En cas de doute sur un fichier ou autres, vous pouvez :
- une analyse VirusTotal de ce fichier,
- une recherche Google incluant si possible le chemin complet avec des “, exemple : “C:\Windows\system32\csrss.exe”
- vérifiez avec herdprotect, exemple sur Google : herdprotect c:\windows\system32\csrss.exe
Le but est de noter chaque ligne malveillante et liés à des cheval de troie, virus et autres afin de constituer une correction FRST.
C’est parti pour quelques exemples et subtilités.
Startup, clé Run et services Windows
Rien d’exception, il suffit de vérifier ces derniers.En général, pjjoint les reconnaît.
Prêtez une attention au fichier non signé numériquement.
Clé IFEO
Les clés du registre Windows IFEO pour Image File Execution Options sont des clés, initialement prévus pour débugger permettant l’exécution d’un exécutable lorsqu’un exécutable en particulier se lance.La clé se trouve dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options suivi du nom de l’exe.
Dans l’exemple ci-dessous, à chaque exécution de GoogleUpdate.exe (légitime), un exécutable avec des chiffres (malveillant) sera aussi lancé.
Si aucun exécutable n’est spécifié alors le fichier ne pourra se lancer.
Ci-dessous, le gestionnaire de tâches (taskmgr.exe) ne pourra être démarré.
Même chose ci-dessous pour prévenir de l’exécution de FRST, HijackThis etc :
Malwarebytes Anti-Malware peut détecter ces derniers en PUP.Optional.IFEO
Extension malveillante sur Chrome
Les extensions malveillantes (Adwares/PUPs) sur Chrome et Firefox sont identifiées par des ID.Il suffit alors d’effectuer une recherche Google afin de vérifier si celle-ci se trouve dans le magasin de Chrome et si elle est “connue”.
Drivers malveillants
Exemple de pilotes malveillants avec ucguard / UCBrowser et Netutils
Trojan RAT
Quelques exemples de rapports FRST avec des Trojans RAT.La plupart du temps, ces derniers se chargent par des clés RUN ou Startup.
Parfois des tâches planifiées.
La tâche planifiée et les dossiers du Trojan RAT qui correspondent :
Un Trojan RAT qui se chargent par des clés RUN et Startup :
De multiples dossiers dans %APPDATA%, l’attribut H montre que ces derniers sont attributs cachés (hidden).
Malware Filess
Ces derniers se chargent par des clés Run qui contiennent un script dans la clé.Plus d’infos : Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit et les Les virus ou trojan Powershell
Clé Run avec mshta :
Signature fichiers systèmes
Ci-dessous un exemple de fichier système patché (modifié afin d’effectuer des opérations malveillantes).Le fichier dnsapi.dll est modifé et donc, il n’est plus signé numériquement.
FRST indique le MD5 du fichier, vous pouvez éventuellement effectuer une recherche sur Google.
Correction FRST
Une fois, les lignes malveillantes repérées et notées.Vous pouvez effectuer une correction FRST afin de supprimer les logiciels malveillants de Windows.
Pour cela, il faut créer un fichier fixlist.txt qui doit impérativement se trouver dans le même dossier que Windows.
- CreateRestorePoint: demande la création d’un point de restauration système.
- CloseProcesses: tue tous les processus non essentiels de Windows
- cmd: permet de lancer une commande cmd, dans l’exemple on vide le catalogue Winsock.
- reg: permet de passer une commande reg, même syntaxe que celle de l’invite de commandes de Windows.
- reg add, vous pouvez créer des clés en indiquant la valeur etc
- reg delete, vous pouvez supprimer des clés du registre Windows
- HOSTS: vide le fichier HOSTS de Windows.
- EmptyTemp : vide les fichiers temporaires
- RemoveProxy : supprimer tous les proxys de Windows
- Reboot: fait redémarrer l’ordinateur une fois la correction effectuée.
Vous pouvez aussi donner le chemin complet d’un fichier ou dossier afin de faire supprimer ce dernier.
Pour une syntaxe complète des scripts FRST, rendez-vous sur la page: FRST Tutorial – How to use Farbar Recovery Scan Tool
Relancez alors FRST puis cliquez sur le bouton Correction (Fix en anglais) pour lancer l’opération.
En vidéo
Exemple de suppression de cheval de troie et désinfection Windows en vidéo :Liens autour de la suppression de virus
- Tutoriel désinfection et suppression de virus
- Les outils de désinfection et de suppression de virus
- Procédure désinfection adwares/popups publicités
REF.:
Aucun commentaire:
Publier un commentaire