in

Utilisez Autoruns pour nettoyer manuellement un PC infecté

Il existe de nombreux programmes anti-malware qui nettoieront votre système des méchants, mais que se passe-t-il si vous ne pouvez pas utiliser un tel programme? Autoruns, de SysInternals (récemment acquis par Microsoft), est indispensable pour supprimer manuellement les logiciels malveillants.

Il existe plusieurs raisons pour lesquelles vous devrez peut-être supprimer manuellement les virus et les logiciels espions:

  • Peut-être que vous ne pouvez pas supporter l’exécution de programmes anti-malware gourmands en ressources et invasifs sur votre PC
  • Vous devrez peut-être nettoyer l’ordinateur de votre mère (ou quelqu’un d’autre qui ne comprend pas qu’un gros panneau clignotant sur un site Web indiquant « Votre ordinateur est infecté par un virus – cliquez ICI pour le supprimer » n’est pas un message qui peut nécessairement être de confiance)
  • Le malware est si agressif qu’il résiste à toutes les tentatives de le supprimer automatiquement, ou ne vous permettra même pas d’installer un logiciel anti-malware
  • Une partie de votre credo geek est la conviction que les utilitaires anti-spyware sont pour les wimps

Autoruns est un ajout inestimable à la boîte à outils logicielle de tout geek. Il vous permet de suivre et de contrôler tous les programmes (et composants de programme) qui démarrent automatiquement avec Windows (ou avec Internet Explorer). Pratiquement tous les logiciels malveillants sont conçus pour démarrer automatiquement, il y a donc de très fortes chances qu’ils puissent être détectés et supprimés à l’aide d’Autoruns.

Nous avons expliqué comment utiliser Autoruns dans un article précédent, que vous devriez lire si vous devez d’abord vous familiariser avec le programme.

Autoruns est un utilitaire autonome qui n’a pas besoin d’être installé sur votre ordinateur. Il peut être simplement téléchargé, décompressé et exécuté (lien ci-dessous). Cela fait est parfaitement adapté pour ajouter à votre collection d’utilitaires portables sur votre lecteur flash.

Lorsque vous démarrez Autoruns pour la première fois sur un ordinateur, le contrat de licence vous est présenté:

Après avoir accepté les conditions, la fenêtre principale Autoruns s’ouvre, vous montrant la liste complète de tous les logiciels qui seront exécutés au démarrage de votre ordinateur, lorsque vous vous connectez ou lorsque vous ouvrez Internet Explorer:

Fenêtre Autoruns

Pour désactiver temporairement le lancement d’un programme, décochez la case en regard de son entrée. Remarque: cela fait ne pas arrêtez le programme s’il est en cours d’exécution à ce moment-là – cela l’empêche simplement de démarrer. Pour empêcher définitivement le lancement d’un programme, supprimez complètement l’entrée (utilisez le Effacer ou cliquez avec le bouton droit de la souris et choisissez Effacer depuis le menu contextuel)). Remarque: cela fait ne pas supprimer le programme de votre ordinateur – pour le supprimer complètement, vous devez désinstaller le programme (ou le supprimer de votre disque dur).

Logiciels suspects

Cela peut prendre un peu d’expérience (lire «essais et erreurs») pour devenir habile à identifier ce qui est un malware et ce qui ne l’est pas. La plupart des entrées présentées dans Autoruns sont des programmes légitimes, même si leurs noms ne vous sont pas familiers. Voici quelques conseils pour vous aider à différencier les logiciels malveillants des logiciels légitimes:

  • Si une entrée est signée numériquement par un éditeur de logiciel (c’est-à-dire qu’il y a une entrée dans le Éditeur colonne) ou a une « Description », alors il y a de fortes chances que ce soit légitime
  • Si vous reconnaissez le nom du logiciel, c’est généralement normal. Notez que parfois les logiciels malveillants «usurperont» l’identité d’un logiciel légitime, mais en adoptant un nom identique ou similaire à un logiciel que vous connaissez bien (par exemple «AcrobatLauncher» ou «PhotoshopBrowser»). Sachez également que de nombreux programmes malveillants adoptent des noms génériques ou inoffensifs, tels que «Diskfix» ou «SearchHelper» (tous deux mentionnés ci-dessous).
  • Les entrées de logiciels malveillants apparaissent généralement sur le Se connecter onglet d’Autoruns (mais pas toujours!)
  • Si vous ouvrez le dossier qui contient le fichier EXE ou DLL (plus à ce sujet ci-dessous), examinez la date de «dernière modification», les dates sont souvent des derniers jours (en supposant que votre infection est assez récente)
  • Les logiciels malveillants se trouvent souvent dans le dossier C: Windows ou C: Windows System32
  • Les logiciels malveillants n’ont souvent qu’une icône générique (à gauche du nom de l’entrée)

En cas de doute, cliquez avec le bouton droit sur l’entrée et sélectionnez Recherche en ligne…

La liste ci-dessous montre deux entrées suspectes: Diskfix et SearchHelper

Ces entrées, mises en évidence ci-dessus, sont assez typiques des infections de logiciels malveillants:

  • Ils n’ont ni descriptions ni éditeurs
  • Ils ont des noms génériques
  • Les fichiers se trouvent dans C: Windows System32
  • Ils ont des icônes génériques
  • Les noms de fichiers sont des chaînes aléatoires de caractères
  • Si vous regardez dans le dossier C: Windows System32 et localisez les fichiers, vous verrez qu’il s’agit de certains des fichiers les plus récemment modifiés dans le dossier (voir ci-dessous)

Entrées suspectes dans le dossier System32

Double-cliquez sur les éléments pour accéder à leurs clés de registre correspondantes:

Entrées suspectes dans le registre

Suppression du logiciel malveillant

Une fois que vous avez identifié les entrées que vous pensez suspectes, vous devez maintenant décider de ce que vous voulez en faire. Vos choix incluent:

  • Désactivez temporairement l’entrée Autorun
  • Supprimer définitivement l’entrée Autorun
  • Localisez le processus en cours d’exécution (à l’aide du Gestionnaire des tâches ou similaire) et terminez-le
  • Supprimez le fichier EXE ou DLL de votre disque (ou au moins déplacez-le dans un dossier où il ne sera pas automatiquement démarré)

ou tout ce qui précède, selon votre degré de certitude que le programme est un malware.

Pour voir si vos modifications ont réussi, vous devrez redémarrer votre ordinateur et vérifier tout ou partie des éléments suivants:

  • Autoruns – pour voir si l’entrée est de retour
  • Gestionnaire de tâches (ou similaire) – pour voir si le programme a été redémarré après le redémarrage
  • Vérifiez le comportement qui vous a amené à croire que votre PC a été infecté en premier lieu. Si cela ne se produit plus, il y a de fortes chances que votre PC soit maintenant propre

Conclusion

Cette solution n’est pas pour tout le monde et est très probablement destinée aux utilisateurs avancés. Habituellement, l’utilisation d’une application antivirus de qualité fait l’affaire, mais si ce n’est pas le cas, Autoruns est un outil précieux dans votre kit Anti-Malware.

Gardez à l’esprit que certains logiciels malveillants sont plus difficiles à supprimer que d’autres. Parfois, vous avez besoin de plusieurs itérations des étapes ci-dessus, chaque itération vous obligeant à regarder plus attentivement chaque entrée Autorun. Parfois, au moment où vous supprimez l’entrée Autorun, le logiciel malveillant en cours d’exécution remplace l’entrée. Lorsque cela se produit, nous devons devenir plus agressifs dans notre assassinat du logiciel malveillant, y compris l’arrêt des programmes (même des programmes légitimes comme Explorer.exe) qui sont infectés par des DLL de logiciels malveillants.

Nous publierons prochainement un article sur la manière d’identifier, de localiser et de terminer les processus qui représentent des programmes légitimes mais exécutent des DLL infectées, afin que ces DLL puissent être supprimées du système.

Télécharger Autoruns de SysInternals

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Comment mapper des lecteurs réseau sur des clients Windows via une stratégie de groupe

Comment améliorer la durée de vie de la batterie de votre GoPro