Guide de dépannage en cas de virus

Descriptions : Tout système informatique est vulnérable aux virus. La meilleure chose à faire pour s’en protéger est de s’équiper d’un bon antivirus (professionnel ou gratuit selon les budgets) et de faire plus attention à l’utilisation de son ordinateur lorsqu’il s’agit de naviguer sur Internet ou consulter sa messagerie.

Un virus, spyware ou malware peut arriver sur votre ordinateur de plusieurs manières :

–          Site web Internet frauduleux
–          Clé USB infecté
–          Pièce jointe dans un e-mail
–          Intrusion via le Web (Hacking)
–          Etc

Chaque attaque virale est différente. Les virus que vous aurez l’occasion de rencontrer fonctionnent tous de manière plus ou moins différente et sont plus ou moins facile à éradiquer. Ils peuvent simplement gêner l’utilisation de votre ordinateur ou encore l’endommage en supprimant des fichiers sensible de votre système d’exploitation, voir des données personnelles.

Voici donc pour vous un petit guide pour vous expliquer plusieurs points à vérifier pour vous en sortir en cas d’infection virale de votre ordinateur (En mode sans échec ou non).

Effectuer une analyse antivirus/spyware/malware :

1 – Après une infection, il est recommandé dans un premier temps de faire une mise à jour de votre antivirus / antispyware / antimalware et d’effectuer une analyse complète de votre ordinateur.

2 – Si vous ne possédez pas d’antivirus, il est possible de faire une analyse à l’aide d’un antivirus en ligne comme sur l’un des sites web suivant :

– BitDefender : http://quickscan.bitdefender.com/fr/

– Secuser.com : http://www.secuser.com/antivirus/index.htm

– TrendMicro : http://housecall.trendmicro.com/fr/

– Panda Sécurity : http://www.pandasecurity.com/activescan/index/?track=100701

– Symantec : http://security.symantec.com/sscv6/home.asp?langid=fr&venid=sym&plfid=21&pkj=QRXYORVWHFHMFNZMBBX

3 – Les meilleurs logiciels que j’ai pu tester pour supprimer des spywares ou malware sont les suivants :

– Spybot Search & Destroy
– MalwareBytes Anti-Malware

Vérifier la liste des logiciels qui s’exécutent au démarrage dans la base de registre :

1 – Cliquez sur « Démarrer », « Exécuter… ». Tapez « regedit » et cliquez sur « OK » pour ouvrir la base de registre de Windows :

NB : Certains virus vont s’inscrire dans la base de registre de Windows afin d’exécuter d’autres logiciels indésirables au démarrage de votre ordinateur. C’est pourquoi il est recommandé de vérifier les entrées du registre de Windows correspondant à l’exécution des programmes au démarrage de l’ordinateur.

2 – Déroulez l’arborescence de la base de registre jusqu’à :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

NB : La clé « RunOne » correspond à la liste des programmes censés s’exécuter qu’une seul fois sur votre système. Il faudra également vérifier les clés suivantes :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
[HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor]

3 – Dans l’écran de droite, vous verrez toutes les applications enregistré pour s’exécuter au démarrage pour tous les utilisateurs de votre système. Supprimez les lignes correspondantes aux applications que vous ne souhaitez pas voir exécuter au prochain démarrage de votre ordinateur :

4 – Naviguez ensuite jusqu’à la clé « HKEY_CURRENT_USER » :

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

NB : La clé « RunOne » correspond à la liste des programmes censés s’exécuter qu’une seul fois sur votre système. Il faudra également vérifier les clés suivantes :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

5 – Dans l’écran de droite, vous verrez toutes les applications enregistré pour s’exécuter au démarrage pour l’utilisateur courant de votre système, qui représente le compte avec lequel vous exécuter cette procédure. Supprimez les lignes correspondantes aux applications que vous ne souhaitez pas voir exécuter au prochain démarrage de votre ordinateur.

6 – Naviguez ensuite jusqu’à la clé « HKEY_USER » :

HKEY_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

NB : Il faudra également vérifier les clés suivantes :

[HKEY_USERS\xxx\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_USERS\xxx\Software\Microsoft\Windows\CurrentVersion\RunOnce]

7 – Dans l’écran de droite, vous verrez toutes les applications enregistré pour s’exécuter au démarrage pour les utilisateurs de votre système. Supprimez les lignes correspondantes aux applications que vous ne souhaitez pas voir exécuter au prochain démarrage de votre ordinateur :

Vérifier la liste des logiciels qui s’exécutent au démarrage de votre ordinateur dans les fichiers systèmes :

1 – Allez dans le panneau de configuration, dans la section correspondant à l’affichage ou l’apparence, cliquez sur « Option des dossiers » :

2 – Dans la fenêtre « Option des dossiers », cliquez sur l’onglet « Affichage » :

3 – Dans la liste des paramètres avancés, cochez la case « Afficher les fichiers, dossiers et lecteurs cachés » :

4 – Toujours dans la liste des paramètres avancés, décochez les cases « Masquer les extensions des fichiers dont le type est connu » et « Masquer les fichiers protégés du système d’exploitation » :

5 – Cliquez sur « Oui » pour valider les nouveaux paramètres :

6 – Cliquez sur « OK » pour fermer la fenêtre :

7 – Ouvrez votre explorateur Windows, et allez à la racine de votre disque dur Système (Exemple : C:\), vous y trouverez probablement l’un des fichiers suivant :

Autoexec.bat
Win.ini
System.ini
Config.sys
Winstart.bat
Wininit.ini

8 – Vérifiez le contenu de ces fichiers systèmes afin de vérifier qu’il n’y ait pas de programmes suspect qui souhaitent s’exécuter au démarrage de votre ordinateur.

Vérifiez la liste des programmes qui s’exécutent au démarrage de votre ordinateur dans l’utilitaire Windows :

1 – Cliquez sur « Démarrer » puis « Exécuter », tapez « msconfig » et cliquez sur « OK » :

2 – Cliquez sur l’onglet « Démarrage » :

3 – Décochez les programmes dont vous ne souhaitez pas obtenir l’exécution au programme démarrage de votre ordinateur, puis cliquez sur « OK » pour valider votre nouvelle configuration :

Que faire lorsque votre ordinateur est bloqué ?

Description : Il arrive parfois qu’après une infection virale, vous ne puissiez plus accéder à votre « Gestionnaire des tâches » ou à la « base de registre ». Pourquoi ? Parce que le virus essai de se protéger de vous. Il ne souhaite pas que vous puissiez mettre fin à ses jours en terminant son exécution par exemple. C’est pourquoi le virus modifiera certaines clés de registre qui vous empêchera d’accéder aux outils systèmes vous permettant de le supprimer.

Rétablir l’accès au « Gestionnaire des tâches » :

1 – Cliquez sur « Démarrer », « Exécuter », tapez « regedit » et cliquez sur « OK » :

2 – Dans l’arborescence, naviguez jusqu’à la clé suivante :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

3 – Dans fenêtre de droite, vous devriez voir apparaitre la clé de registre « DisabledTaskMgr », éditez là en double cliquant dessus :

4 – Modifiez la valeur actuelle par « 0 » et cliquez sur « OK » :

5 – Votre gestionnaire des tâches est de nouveau accessible dans la barre des tâches :

Rétablir ou bloquer l’accès à la « base de registre » :