Autres étapes lors de la suppression des fichiers problématiques

  • ID de l'article 14443
  • Mis à jour : 02 févr. 2012

Même si, dans la plupart des cas, on parvient à supprimer des menaces de manière centralisée depuis l'Enterprise Console, ou localement avec Sophos Anti-Virus ou un contrôle par ligne de commande comme SAV32CLI, le problème peut parfois revenir systématiquement.

Dans ces instructions, on suppose que l'ordinateur affecté utilise Windows 2000, Windows XP ou Windows 2003, mais la plupart des étapes sont semblables pour Windows 95/98/Me et Windows NT. La méthodologie est aussi semblable pour tous les autres systèmes d'exploitation.

Le mot Cheval de Troie est utilisé ici pour signifier tout ver, virus, cheval de Troie ou autre application indésirable qui s'avère difficile à supprimer.

Action à mener

Lors du nettoyage de l'ordinateur infecté, utilisez un ordinateur non infecté pour les recherches Internet, le téléchargement des utilitaires, etc. Enregistrez tous les outils sur disquette ou CD-ROM, puis protégez la disquette en écriture ou, sur un CD-ROM, fermez la session avant d'amener le CD-ROM sur l'ordinateur affecté.

1. Survie ou réinfection ?

Tout d'abord, vous devez savoir si l'ordinateur est réinfecté depuis l'extérieur, ou si le cheval de Troie a en quelque sorte survécu au contrôle sur l'ordinateur. Lisez l'analyse virale pour obtenir des éventuels indices sur le problème et vérifiez les éléments suivants :

  1. L'ordinateur est-il relié à Internet ?
  2. L'ordinateur est-il relié au réseau local (LAN) ?
  3. Avez-vous supprimé ou désactivé toutes les cartes réseau sans fil ?
  4. Y'a-t-il une carte USB, un lecteur amovible ou tout autre périphérique avec une mémoire, branché sur l'ordinateur ?
  5. Avez-vous vérifié qu'il n'y a pas de CD-ROM ou de disquettes dans les lecteurs ?

Débranchez l'ordinateur de tout réseau, y compris Internet, et retirez toutes les cartes, lecteurs, disquettes et périphériques. Puis répétez le contrôle. Si le cheval de Troie est supprimé, assurez-vous que votre ordinateur est parfaitement protégé avec les correctifs et que tous vos logiciels de sécurité sont à jour. Voir Retour à une utilisation normale de votre ordinateur.

Si l'ordinateur est déjà complètement isolé des autres ordinateurs et des supports externes et s'il est toujours infecté après redémarrage ou si des fichiers ne peuvent pas être supprimés avec une invite de commandes en mode sans échec, passez directement à la partie 5.

2. Carte USB ou lecteur amovible

Il est possible que la source d'infection figure sur des supports que vous ne contrôlez peut-être pas et que l'accès à ce support s'effectue lorsque l'ordinateur démarre. Les supports à vérifier incluent les cartes USB et les lecteurs amovibles. Pour être en toute sécurité, retirez aussi les téléphones mobiles, caméras numériques, imprimantes et autres périphériques avec des mémoires.

  • Retirez le support.
  • Exécutez un autre contrôle.
  • Vérifiez si l'ordinateur est réinfecté lorsqu'il redémarre.
  • S'il ne l'est pas, reformatez la carte ou le lecteur ou désinfectez-le soigneusement sur un autre ordinateur. Si possible, utilisez un ordinateur avec un système d'exploitation différent, comme un Mac.

Si le problème semble provenir d'une autre partie de l'équipement, redémarrez-le. Vérifiez ensuite toutes les cartes mémoire, etc. qu'il utilise. Sauvegardez toutes les données sur la carte (par exemple, les photos sur le CD-ROM), puis reformatez la carte mémoire.

Votre téléphone, caméra, etc. ne peut pas être affecté par le cheval de Troie ; il ou elle agit en tant que "porteur" immunisé. Prenez donc votre temps lorsque vous sauvegardez vos données.

Si le cheval de Troie est supprimé, assurez-vous que votre ordinateur est parfaitement protégé avec les correctifs et que tous vos logiciels de sécurité sont à jour. Voir Retour à une utilisation normale de votre ordinateur.

3. Réseau local

S'il y a d'autres ordinateurs sur votre réseau, vérifiez s'ils contiennent des chevaux de Troie. Assurez-vous de contrôler les dossiers ou les répertoires partagés utilisés par les autres ordinateurs, par exemple, les dossiers partagés sur les Mac, les partages Samba sur les ordinateurs Linux ou les partages NetWare.

Si le cheval de Troie est supprimé, assurez-vous que votre ordinateur est parfaitement protégé avec les correctifs et que tous vos logiciels de sécurité sont à jour. Voir Retour à une utilisation normale de votre ordinateur.

4. Réinfection depuis Internet

Si l'infection semble provenir d'Internet via une carte sans fil ou un câble, vous devez bloquer la source d'infection avant de retourner sur Internet.

  • Cartes et réseaux sans fil
    Vous devrez exécuter une vérification complète de la sécurité de votre réseau. Pour commencer, changez le nom utilisateur et le mot de passe de ceux par défaut sur votre routeur et assurez-vous d'utiliser un mot de passe fort. Vérifiez la documentation du système sans fil, le site Web Microsoft et Internet pour obtenir des astuces concernant la sécurisation de votre réseau sans fil. Il s'agit d'un secteur en constant progrès. Les termes de recherche utiles sont 'sans fil', 'sécurité' et 'wi-fi'.
  • Connexions Internet
    Si votre ordinateur est réinfecté à partir d'Internet, vérifiez la sécurité de votre connexion Internet. En plus d'un logiciel antivirus, utilisez également un pare-feu, surtout pour les connexions permanentes ('always on') comme l'ADSL ou d'autres systèmes broadband. Utilisez soit un pare-feu personnel de logiciel, soit un routeur qui agit aussi comme un pare-feu. Ne prenez pas de pare-feu/routeur avec réseau sans fil à moins que vous ayez besoin de cette fonction.

Si un pirate de navigateurs a infecté votre ordinateur, vous pouvez installer un autre navigateur Web avant d'utiliser de nouveau Internet. N'importez pas de paramètres ou de pages enregistrées lorsque vous réalisez cette opération.

Voir ci-dessous pour d'autres astuces pour compenser les effets des pirates de navigateurs.

5. Problèmes résidents sur l'ordinateur local

Si le fichier problématique réside sur l'ordinateur local, vous devez savoir s'il ne peut pas être supprimé ou s'il se recrée d'une façon ou d'une autre.

Avant de suivre les conseils ci-dessous :

  • Si possible, sauvegardez toutes vos données (documents, feuilles de calcul, photos, carnet d'adresses électroniques, etc.) sur un CD-ROM ou sur d'autres supports.
  • Imprimez la description complète (y compris la section avancée) de l'analyse de la menace qui affecte votre ordinateur.

Il peut s'avérer plus rapide de sauvegarder vos données et de restaurer votre ordinateur à son état d'origine plutôt que d'inverser complètement les effets d'un cheval de Troie. Voir réinstallation de Windows.

  1. Lorsque vous exécutez un contrôle avec SAV32CLI avec une invite de commandes en mode sans échec, pouvez-vous détecter le cheval de Troie ? Si vous ne pouvez pas, passez à la section 7.
  2. Si le cheval de Troie est détecté, pouvez-vous supprimer le fichier ? Si vous ne pouvez pas, passez à la section 6.
  3. Si vous vous êtes débarrassé des fichiers, mais si les problèmes persistent, passez à la section 8.

Pour plus d'informations sur l'utilisation d'une invite de commandes en mode sans échec, voir commandes DOS de base.

6. Fichier non supprimé

Si le fichier n'a pas pu être supprimé par une invite de commandes en mode sans échec, il est maintenu ouvert par le système d'exploitation ou il est dans Restauration du système.

Sous Windows XP ou Windows Me, vous pouvez purger la Restauration du système à l'invite de commandes.

Vous pouvez peut-être supprimer le fichier manuellement en utilisant la console de récupération Windows :

Autrement, dans certaines circonstances, vous pouvez empêcher le fichier de se lancer lorsque l'ordinateur démarre. Voir les entrées du registre ci-dessous.

7. Fichier non détecté

Les fichiers de menaces sont généralement des exécutables (programmes). Mais il existe des astuces pour convertir un type de fichier quelconque en un fichier exécutable avant de l'exécuter. Si un contrôle de fichiers exécutables avec invite de commandes en mode sans échec ne détecte pas le fichier de menace, essayez un contrôle de 'tous les fichiers' (il ne supprimera rien la première fois).

Pour exécuter un contrôle journalisé de 'tous les fichiers' avec SAV32CLI, saisissez

SAV32CLI -ALL -P=C:\LOGFILE1.TXT

Soyez prudent si vous supprimez des fichiers avec un contrôle de 'tous les fichiers'. Vous pourriez supprimer des boîtes de messagerie contenant un courriel infecté ou archiver des fichiers contenant seulement un fichier infecté parmi beaucoup d'autres. De plus, il est peu vraisemblable que de tels fichiers aient été la source d'infection. Pour supprimer et journaliser les fichiers avec un contrôle de 'tous les fichiers', saisissez

SAV32CLI -ALL -REMOVE -P=C:\LOGFILE2.TXT

Pour avoir des informations supplémentaires sur l'utilisation de SAV32CLI, reportez-vous à la section Options de contrôle avec SAV32CLI.

Une fois que vous vous êtes débarrassé du fichier, essayez quand même de savoir ce qui le déclenchait. Cela réduira les risques de réinfection. Voir ci-dessous.

8. Suppression des entrées du registre

Des entrées du registre auront probablement été ajoutées ou changées par le cheval de Troie. Celles-ci peuvent appeler un élément que vous ne pouvez pas trouver.

Si vous ne parvenez pas à supprimer une entrée de registre en particulier, changez les autorisations sur cette entrée, puis supprimez-la.

Si vous ne parvenez pas à ouvrir le registre et si l'analyse virale indique qu'une entrée de registre donnée pourrait vous en empêcher, copiez et importez cette entrée depuis un ordinateur non affecté. Si vous avez maintenant un accès, supprimez les autres entrées.

9. Changement des entrées du registre

Où le cheval de Troie a changé une entrée du registre

  • vérifiez l'analyse virale pour laquelle des entrées de registre sont affectées
  • copiez les entrées changées depuis un autre ordinateur
  • importez les entrées.

Assurez-vous que vous importez l'entrée depuis un ordinateur utilisant exactement le même système d'exploitation que l'ordinateur affecté.

Ceci peut marcher même si vous ne pouvez pas avoir accès au registre.

10. Autres méthodes de démarrage

Vérifiez toutes les copies des fichiers suivants pour des références soit au cheval de Troie, soit aux sites Web qu'il utilise :

  • autorun.inf
  • HOSTS
  • autoexec.bat
  • config.sys

Si nécessaire, copiez-les sur une disquette, effectuez une sauvegarde, modifiez-les dans le Bloc-notes sur un autre ordinateur, puis remplacez les originaux sur l'ordinateur affecté.

11. Nettoyage du disque et restauration du système

Utilisez Nettoyage du disque pour supprimer les fichiers temporaires dans lesquels quelque chose pourrait se dissimuler. Saisissez ce qui suit à l'invite de commandes, puis suivez les instructions à l'écran :

Cleanmgr

Assurez-vous que les options suivantes sont sélectionnées pour la suppression :

  • Fichiers programme téléchargés
  • Fichier Internet temporaires
  • Fichier temporaires
  • Corbeille

Les chevaux de Troie peuvent aussi se cacher dans les fichiers de Restauration du système sous Windows XP et Windows Me. Pour accéder à la Restauration du système avec invite de commandes en mode sans échec sous Windows XP, saisissez

<dossier_Windows>\system32\restore\rstrui.exe

où <dossier_Windows> est le nom de votre dossier Windows (généralement 'Windows' sous Windows XP). Ensuite, purgez et réinitialisez la restauration du système.

12. Retour dans Windows

Lorsque vous redémarrez votre ordinateur dans Windows pour la première fois après la désinfection, vous pouvez désactiver les applications de démarrage en maintenant la touche Maj enfoncée lorsque vous vous connectez. Vérifiez votre dossier de démarrage et le menu de démarrage.

Exécutez un autre contrôle avec logiciel antivirus pour une vérification finale.

13. Retour à une utilisation normale de votre ordinateur

Avant le retour à une utilisation normale de votre ordinateur, vérifiez ce qui suit :

  • assurez-vous que votre ordinateur dispose de tous les correctifs nécessaires (utilisez Windows Update et l'outil Microsoft Baseline Analyzer)
  • vérifiez que tous vos logiciels de sécurité sont à jour
  • vérifiez votre pare-feu (installez un matériel ou un pare-feu personnel si vous n'en avez pas déjà un)
  • vérifiez que vos dossiers partagés sont seulement accessibles aux personnes qui, selon vous, peuvent les utiliser
  • vérifiez les paramètres du Centre de sécurité Windows dans Windows XP, y compris ceux du pare-feu Windows.

Vous pouvez seulement utiliser Windows Update avec Internet Explorer version 5 ou supérieure. Si nécessaire, utilisez un autre ordinateur ou navigateur pour télécharger les correctifs et service packs dont vous avez besoin depuis le Centre de téléchargement Microsoft. Puis enregistrez-les sur un CD-ROM et installez-les depuis ce CD-ROM.

14. Pirates de navigateurs

Certains chevaux de Troie piratent votre navigateur web (généralement Internet Explorer) de manière à ce que votre ordinateur visite leurs sites Web et soient réinfectés.

Essayez les opérations suivantes

  • Installez temporairement un navigateur web différent et définissez-le comme votre navigateur par défaut, jusqu'à ce que vous résolviez le problème. N'importez pas de paramètres ou de pages enregistrées lors de l'installation.
  • Recherchez le fichier 'Iereset.inf' et remplacez-le par une copie depuis un autre ordinateur avec exactement le même système d'exploitation. S'il est présent, ce fichier sera dans l'un des dossiers Windows.
  • Vous pouvez accéder à de nombreux paramètres Internet Explorer depuis une invite de commandes en mode sans échec. À l'invite de commandes, saisissez :
    Inetcpl.cpl
    Sélectionnez l'onglet Programmes et cliquez sur 'Gérer les modules complémentaires' pour désactiver les plug-ins.

15. Outils utiles et informations

Les outils Windows suivants sont utiles lors de la résolution des problèmes :

Msconfig

Cet outil de configuration est disponible dans Windows XP et Windows 98, mais pas dans Windows 2000. Pour l'exécuter dans Windows, sélectionnez Démarrer|Exécuter, et saisissez

Msconfig

Msconfig vous permet d'effectuer les opérations suivantes

  • Vous pouvez désactiver les programmes qui s'exécutent au démarrage dans l'onglet Démarrage.
  • Pour identifier tous les services non-Windows, cliquez sur l'onglet Services et sélectionnez 'Masquer tous les services Microsoft'. Les services restants n'appartiennent pas à Windows (la plupart d'entre eux appartiennent en général à vos logiciels légitimes).
  • Si Windows ne veut pas redémarrer en mode sans échec, vous pouvez paramétrer ceci dans l'onglet BOOT.INI. Sélectionnez '/SAFEBOOT/' et 'Minimal'.

Msinfo32 et Winmsd

Msinfo32 et Winmsd génèrent des rapports détaillés sur votre système qui peuvent être utiles dans la résolution des problèmes. L'un ou l'autre fonctionne dans Windows 2000, XP et 2003. Pour les exécuter avec l'invite de commandes en mode sans échec, saisissez 'Msinfo32' ou 'Winmsd'.

Sources d'information

Les articles et les outils Microsoft suivants peuvent vous aider à sécuriser votre ordinateur :

Recherche de fichiers à l'invite de commandes

Si vous avez besoin de rechercher un fichier avec l'invite de commandes en mode sans échec, saisissez :

C:
CD \
DIR <nomfichier> /S

Ceci vous mène vers la racine du lecteur C:, puis recherche le fichier <nomfichier>, le dossier racine et tous ses sous-dossiers. Pour rechercher le fichier <nomfichier> dans tous les dossiers même s'il a l'attribut 'caché', saisissez :

DIR <nomfichier> /S /AH

Pour plus d'informations sur l'utilisation de l'invite de commandes, voir Commandes DOS de base.

16. Si vous avez besoin de contacter Sophos

Si vous n'arrivez toujours pas à supprimer le cheval de Troie et souhaitez contacter Sophos, répondez à autant de questions que possible quand vous nous contactez. Cela permettra une analyse plus rapide du problème.

Éléments de base

  1. Sous quelle forme Sophos Anti-Virus détecte-t-il le ou les fichiers problématiques ?
  2. Quels systèmes d'exploitation les ordinateurs utilisent-ils ?
  3. Combien d'ordinateurs sont affectés ?
  4. Où (quel dossier) se trouve le fichier problématique détecté ?

Méthode de survie

  1. Si le cheval de Troie peut être supprimé mais réapparaît, quand réapparaît-il ?
    • même lorsque l'ordinateur est isolé de tous les réseaux ?
    • au moment où l'ordinateur est reconnecté au réseau ?
    • lorsqu'une application (par exemple, Internet Explorer) est lancée ?
  2. Le fichier est-il verrouillé afin qu'il ne puisse pas être supprimé (avec SAV32CLI ou manuellement) ?

Autres points

  1. Pouvez-vous tuer (arrêter) le processus du cheval de Troie dans le Gestionnaire des tâches ? Est-ce que le cheval de Troie redémarre ?

Journaux et autres sources d'information

  • Incluez tout rapport Msinfo32 ou Winmsd correspondant.
  • Incluez votre SAV32CLI ou d'autres journaux de contrôle.

Nouvelles menaces

Si vous pensez que vous avez un nouveau type de cheval de Troie ou si le fichier avec lequel vous avez des problèmes est du type '-Fam' ou '-Gen', envoyez-nous un échantillon.


Réinstallation de Windows

Peut-être trouverez-vous plus facile de réinstaller Windows que de traiter les effets secondaires de l'infection par le cheval de Troie. Avant de réinstaller, sauvegardez toutes vos données (par exemple, sur CD-ROM ou DVD) - on ne sait jamais de quels éléments on peut avoir besoin.

Vous pouvez avoir trois types différents de disques système d'origine

  1. un CD-ROM Windows de Microsoft
  2. un CD-ROM de récupération du fabricant
  3. des CD-ROM ou des DVD de récupération que vous créés vous-même lorsque vous avez installé l'ordinateur pour la première fois.

Les deux derniers types supprimeront toutes vos données existantes lorsque vous restaurerez votre ordinateur. Ceci permettra de se débarrasser du cheval de Troie, mais supprimera également tout le travail présent sur cet ordinateur, ainsi que tous les programmes, pilotes, service packs et correctifs que vous avez installés.

Si vous 'réinstallez' depuis un CD-ROM Microsoft Windows, il peut effectuer une réparation plutôt qu'une réinstallation. Ceci peut laisser un cheval de Troie actif sur le disque dur. Dans ces circonstances, reformatez votre disque dur avant d'installer Windows. Ceci supprimera le cheval de Troie ainsi que tous les programmes, pilotes, service packs et correctifs que vous avez installés.

Une fois que vous avez réinstallé Windows, assurez-vous que votre ordinateur est protégé de manière adéquate avant de revenir à une utilisation normale.

 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires