20Aug

Utiliser Autoruns pour nettoyer manuellement un PC infecté

click fraud protection

Il existe de nombreux programmes anti-malware qui vont nettoyer votre système de méchants, mais que se passe-t-il si vous n'êtes pas capable d'utiliser un tel programme? Autoruns, de SysInternals( récemment acquis par Microsoft), est indispensable lors de la suppression manuelle des logiciels malveillants.

Il existe plusieurs raisons pour lesquelles vous devrez peut-être supprimer manuellement les virus et les logiciels espions:

  • Vous ne pouvez peut-être pas exécuter des programmes anti-logiciels malveillants et invasifs sur votre ordinateur
  • Vous devrez peut-être nettoyer l'ordinateur de votre mèrequi ne comprend pas qu'un grand signe clignotant sur un site Web qui dit "Votre ordinateur est infecté par un virus - cliquez ICI pour le supprimer" n'est pas un message qui peut nécessairement être approuvé)
  • Le malware est si agressif qu'il résiste à toustente de le supprimer automatiquement, ou ne vous permettra même pas d'installer un logiciel anti-malware
  • Une partie de votre credo geek est la croyance que les utilitaires anti-spyware sont pour wimps
instagram viewer

Autoruns est un ajout inestimable à la boîte à outils logiciel de tout geek. Il vous permet de suivre et de contrôler tous les programmes( et les composants du programme) qui démarrent automatiquement avec Windows( ou avec Internet Explorer).Pratiquement tous les logiciels malveillants sont conçus pour démarrer automatiquement, il y a donc de fortes chances qu'ils puissent être détectés et supprimés à l'aide d'Autoruns.

Nous avons couvert comment utiliser Autoruns dans un article précédent, que vous devriez lire si vous devez d'abord vous familiariser avec le programme.

Autoruns est un utilitaire autonome qui n'a pas besoin d'être installé sur votre ordinateur. Il peut être simplement téléchargé, décompressé et exécuté( lien ci-dessous).Cela fait est idéal pour ajouter à votre collection utilitaire portable sur votre lecteur flash.

Lorsque vous lancez Autoruns pour la première fois sur un ordinateur, le contrat de licence s'affiche:

Après avoir accepté les termes, la fenêtre principale Autoruns s'ouvre et affiche la liste complète de tous les logiciels qui seront exécutés au démarrage de votre ordinateur. Lorsque vous vous connectez, ou lorsque vous ouvrez Internet Explorer:

Pour désactiver temporairement un programme de lancement, décochez la case à côté de son entrée. Note: Cela ne fait pas terminer le programme si elle est en cours d'exécution à la fois - il empêche simplement de démarrer suivant fois. Pour empêcher définitivement le lancement d'un programme, supprimez-le complètement( utilisez la touche Delete , ou faites un clic droit et choisissez Delete dans le menu contextuel)).Remarque: Cela ne pas supprimer le programme de votre ordinateur - pour le supprimer complètement, vous devez désinstaller le programme( ou sinon le supprimer de votre disque dur).

Logiciels suspects

Il peut prendre un peu d'expérience( lire "essais et erreurs") pour devenir capable d'identifier ce qui est un logiciel malveillant et ce qui ne l'est pas. La plupart des entrées présentées dans Autoruns sont des programmes légitimes, même si leurs noms ne vous sont pas familiers. Voici quelques conseils pour vous aider à différencier le logiciel malveillant du logiciel légitime:

  • Si une entrée est signée numériquement par un éditeur de logiciel( par exemple, une entrée dans la colonne Publisher ) ou une "Description", il y a de bonnes chancesque c'est légitime
  • Si vous reconnaissez le nom du logiciel, alors c'est généralement correct. Notez que parfois les logiciels malveillants "usurperont" des logiciels légitimes, mais adopteront un nom identique ou similaire à un logiciel que vous connaissez( par exemple "AcrobatLauncher" ou "PhotoshopBrowser").Sachez également que de nombreux programmes malveillants adoptent des noms génériques ou anodins, tels que "Diskfix" ou "SearchHelper"( mentionnés ci-dessous).
  • Les entrées de programmes malveillants apparaissent généralement sur l'onglet Logon de Autoruns( mais pas toujours!)
  • Si vous ouvrez le dossier qui contient le fichier EXE ou DLL( plus de détails ci-dessous), examinez la date de "dernière modification".Les dates sont souvent des derniers jours( en supposant que votre infection est assez récente)
  • Les logiciels malveillants sont souvent situés dans le dossier C: \ Windows ou le dossier C: \ Windows \ System32
  • Malware a souvent une icône générique( à gauchedu nom de l'entrée)

En cas de doute, faites un clic droit sur l'entrée et sélectionnez Recherche en ligne. ..

La liste ci-dessous montre deux entrées suspectes: Diskfix et SearchHelper

Ces entrées, soulignées ci-dessus, sont assez typiques des infections de logiciels malveillants:

  • Ils n'ont ni descriptions ni éditeurs
  • Ils ont des noms génériques
  • Les fichiers sont situés dans C: \ Windows \ System32
  • Ils ont des icônes génériques
  • Si vous regardez dans le dossier C: \ Windows \ System32 et recherchez les fichiers, vous verrez qu'ils sont parmi les derniers fichiers modifiés dans le dossier( voir ci-dessous)

Double-cliquer sur les éléments vous emmèneraà leurs clés de registre correspondantes:

Suppression du programme malveillant

Une fois que vous avez identifié les entrées que vous jugez suspectes, vous devez maintenant décider ce que vous voulez en faire.

  • Désactiver temporairement l'entrée Autorun
  • Supprimer définitivement l'entrée Autorun
  • Localiser le processus en cours( en utilisant Task Manager ou similaire) et le terminer
  • Supprimer le fichier EXE ou DLL de votre disque( ou au moins le déplacer dans un dossieroù il ne sera pas automatiquement démarré)

ou tout ce qui précède, en fonction de la certitude que vous êtes que le programme est un logiciel malveillant.

Pour voir si vos modifications ont réussi, vous devrez redémarrer votre machine, et vérifier tout ou partie de ce qui suit:

  • Autoruns - pour voir si l'entrée a retourné
  • Task Manager( ou similaire) - pour voir si le programme a été démarréà nouveau après le redémarrage
  • Vérifiez le comportement qui vous a amené à croire que votre PC a été infecté en premier lieu. Si ce n'est plus le cas, il y a de fortes chances que votre PC soit maintenant propre

Conclusion

Cette solution n'est pas pour tout le monde et s'adresse très probablement aux utilisateurs avancés. Habituellement, l'utilisation d'une application Antivirus de qualité fait l'affaire, mais sinon, Autoruns est un outil précieux dans votre kit Anti-Malware.

Gardez à l'esprit que certains logiciels malveillants sont plus difficiles à supprimer que d'autres. Parfois, vous avez besoin de plusieurs itérations des étapes ci-dessus, chaque itération vous obligeant à regarder plus attentivement chaque entrée Autorun. Parfois, à l'instant où vous supprimez l'entrée d'exécution automatique, le logiciel malveillant en cours d'exécution remplace l'entrée. Lorsque cela se produit, nous devons devenir plus agressifs dans notre assassinat du malware, y compris les programmes de terminaison( même les programmes légitimes comme Explorer.exe) qui sont infectés par des DLL de logiciels malveillants.

Nous publierons sous peu un article sur la façon d'identifier, de localiser et de terminer les processus qui représentent des programmes légitimes mais qui exécutent des DLL infectées, afin que ces DLL puissent être supprimées du système.

Télécharger Autoruns de SysInternals