Utiliser les Autoruns pour nettoyer manuellement un PC infecté
Il existe de nombreux programmes anti-programmes malveillants qui nettoieront votre système des méchants, mais que se passera-t-il si vous ne pouvez pas utiliser un tel programme? Autoruns, de SysInternals (récemment acquis par Microsoft), est indispensable pour supprimer les logiciels malveillants manuellement.
Il existe plusieurs raisons pour lesquelles vous devrez peut-être supprimer manuellement les virus et les logiciels espions:
- Peut-être que vous ne pouvez pas supporter d'exécuter des programmes anti-malware invasifs et gourmands en ressources sur votre PC
- Vous devrez peut-être nettoyer l'ordinateur de votre mère (ou une autre personne qui ne comprend pas qu'un grand panneau clignotant sur un site Web indique "Votre ordinateur est infecté par un virus - cliquez ICI pour le supprimer" n'est pas nécessairement un message. de confiance)
- Le logiciel malveillant est si agressif qu'il résiste à toutes les tentatives de suppression automatique de ce dernier ou ne vous permet même pas d'installer un logiciel anti-programme malveillant.
- Une partie de votre credo geek est la conviction que les utilitaires anti-spyware sont pour Wimps
Autoruns est un ajout précieux à la boîte à outils logicielle de tout geek. Il vous permet de suivre et de contrôler tous les programmes (et composants de programme) qui démarrent automatiquement avec Windows (ou Internet Explorer). Pratiquement tous les logiciels malveillants sont conçus pour démarrer automatiquement. Il y a donc de fortes chances pour qu'ils soient détectés et supprimés à l'aide d'Autoruns..
Nous avons déjà expliqué comment utiliser Autoruns dans un article précédent, que vous devriez lire si vous devez d’abord vous familiariser avec le programme..
Autoruns est un utilitaire autonome qui n'a pas besoin d'être installé sur votre ordinateur. Il peut être simplement téléchargé, décompressé et exécuté (lien ci-dessous). Ceci est idéal pour ajouter à votre collection d’utilitaires portables sur votre clé USB..
Lorsque vous démarrez Autoruns pour la première fois sur un ordinateur, le contrat de licence vous est présenté:
Une fois que vous avez accepté les conditions, la fenêtre principale d'Autoruns s'ouvre et affiche la liste complète de tous les logiciels qui s'exécuteront au démarrage de votre ordinateur, à la connexion ou à l'ouverture d'Internet Explorer:
Pour désactiver temporairement le lancement d'un programme, décochez la case en regard de son entrée. Note: Cela fait ne pas mettre fin au programme s'il est en cours d'exécution - cela l'empêche simplement de démarrer suivant temps. Pour empêcher de manière permanente le lancement d’un programme, supprimez l’entrée (utilisez la touche Effacer clé, ou faites un clic droit et choisissez Effacer depuis le menu contextuel)). Note: Cela fait ne pas Supprimez le programme de votre ordinateur. Pour le supprimer complètement, vous devez le désinstaller (ou le supprimer de votre disque dur)..
Logiciel suspect
Cela peut prendre un peu d'expérience (lire «essais et erreurs») pour devenir habile à identifier ce qui est un malware et ce qui ne l'est pas. La plupart des entrées présentées dans Autoruns sont des programmes légitimes, même si leurs noms vous sont inconnus. Voici quelques conseils pour vous aider à différencier les logiciels malveillants des logiciels légitimes:
- Si une entrée est signée numériquement par un éditeur de logiciel (c.-à-d. Qu'il y a une entrée dans Éditeur colonne) ou a une "description", alors il y a de bonnes chances que ce soit légitime
- Si vous reconnaissez le nom du logiciel, c'est normalement correct. Notez que les logiciels malveillants «épuisent parfois» les logiciels légitimes, mais qu’ils adoptent un nom identique ou similaire aux logiciels que vous connaissez bien (par exemple, «AcrobatLauncher» ou «PhotoshopBrowser»). Sachez également que de nombreux programmes malveillants adoptent des noms génériques ou inoffensifs, tels que «Diskfix» ou «SearchHelper» (les deux mentionnés ci-dessous)..
- Les entrées de logiciels malveillants apparaissent généralement sur le Se connecter onglet des Autoruns (mais pas toujours!)
- Si vous ouvrez le dossier qui contient le fichier EXE ou DLL (plus de détails ci-dessous), examinez la date de «dernière modification», les dates datent souvent des derniers jours (en supposant que votre infection soit relativement récente).
- Les logiciels malveillants se trouvent souvent dans le dossier C: \ Windows ou C: \ Windows \ System32.
- Les logiciels malveillants n’ont souvent qu’une icône générique (à gauche du nom de l’entrée)
En cas de doute, cliquez avec le bouton droit sur l'entrée et sélectionnez Recherche en ligne…
La liste ci-dessous montre deux entrées suspectes: Diskfix et RechercherHelper
Ces entrées, soulignées ci-dessus, sont assez typiques des infections par logiciels malveillants:
- Ils n'ont ni les descriptions ni les éditeurs
- Ils ont des noms génériques
- Les fichiers sont situés dans C: \ Windows \ System32
- Ils ont des icônes génériques
- Les noms de fichiers sont des chaînes de caractères aléatoires
- Si vous regardez dans le dossier C: \ Windows \ System32 et localisez les fichiers, vous constaterez qu'il s'agit des fichiers les plus récemment modifiés du dossier (voir ci-dessous).
Double-cliquez sur les éléments pour accéder à la clé de registre correspondante:
Suppression du logiciel malveillant
Une fois que vous avez identifié les entrées que vous jugez suspectes, vous devez maintenant décider de ce que vous voulez en faire. Vos choix incluent:
- Désactiver temporairement l'entrée Autorun
- Supprimer définitivement l'entrée Autorun
- Localisez le processus en cours (à l'aide de Task Manager ou similaire) et terminez-le.
- Supprimez le fichier EXE ou DLL de votre disque (ou au moins déplacez-le dans un dossier où il ne sera pas démarré automatiquement)
ou tout ce qui précède, selon votre certitude que le programme est un logiciel malveillant.
Pour voir si vos modifications ont abouti, vous devrez redémarrer votre ordinateur et vérifier l’un ou l’ensemble des éléments suivants:
- Autoruns - pour voir si l'entrée est retournée
- Gestionnaire de tâches (ou similaire) - pour voir si le programme a été redémarré après le redémarrage
- Vérifiez le comportement qui vous a amené à croire que votre PC était infecté en premier lieu. Si cela ne se produit plus, il y a des chances que votre PC soit maintenant propre
Conclusion
Cette solution ne convient pas à tout le monde et est probablement destinée aux utilisateurs avancés. Utiliser habituellement une application antivirus de qualité fait l'affaire, mais si ce n'est pas le cas, Autoruns est un outil précieux dans votre kit Anti-Malware..
N'oubliez pas que certains logiciels malveillants sont plus difficiles à supprimer que d'autres. Parfois, vous avez besoin de plusieurs itérations des étapes ci-dessus, chaque itération vous obligeant à examiner plus attentivement chaque entrée Autorun. Parfois, à l'instant où vous supprimez l'entrée Autorun, le logiciel malveillant en cours d'exécution remplace l'entrée. Lorsque cela se produit, nous devons devenir plus agressifs dans notre assassinat des logiciels malveillants, y compris des programmes de terminaison (même des programmes légitimes comme Explorer.exe) infectés par des DLL de programmes malveillants..
Dans peu de temps, nous publierons un article sur la façon d'identifier, de localiser et de mettre fin aux processus représentant des programmes légitimes mais exécutant des DLL infectées, afin de pouvoir les supprimer du système..
Télécharger des Autoruns depuis SysInternals