Balade sur un ordinateur sérieusement infecté, par Azamos.

Vous faites quoi aujourd’hui ? Rien ? Eh bien je vous propose une petite promenade en tant que visiteur sur un PC rempli de petites bestioles, comme ça, pour passer le temps. Ça vous dit ? Alors suivez le guide 

 

HISTORIQUE

 

Des PC comme celui que je vais vous montrer j’en vois de moins en moins (et heureusement).

Petit historique : il a été pris en main par quelqu’un qui a voulu le désinfecter/nettoyer parce qu’il était déjà lent et infecté….

Vous allez voir que l’opération n’a pas été une grande réussite, c’est le moins que l’on puisse dire !

Suite à la « désinfection » (hummmm….) l’ordinateur a dormi dans un placard pendant 2/3 années, tellement il était devenu inutilisable.

***

ETAT DES LIEUX

 

Mesdames, Messieurs, commençons la visite (ne touchez à rien s’iouplait ! )

Donc me voilà avec le bébé en main : branchement sur le secteur en ne le connectant SURTOUT PAS à Internet, et appui sur le bouton de démarrage.

Là, bonne surprise il arrive sur l’écran de connexion (la page où l’on tape son mot de passe pour accéder à sa session) très rapidement : rassurant quant à l’état de santé du matériel, même si ce n’est pas une preuve absolue. 

• Je tape le mot de passe, et me voilà accueilli par ce z’oli encart =>

« System Healer » est un Rogue (Rogue = un faux logiciel de désinfection ou de nettoyage).

Son but est de vous afficher une vision alarmiste de l’état de santé de votre PC (bidon bien évidemment), histoire de vous faire acheter le logiciel… qui ne vous nettoiera rien (ou si peu) de toute façon.

Bien entendu le clic sur la (fausse) croix rouge pour le fermer ne donnera rien : il faudra que je passe par le gestionnaire des tâches pour clôturer la fenêtre.

• Et là voici ce que l’on peut découvrir =>

En rouge les programmes indésirables/intrusifs ; en orange les choses qui n’ont rien à faire sur le Bureau, tel l’installeur de Chrome ou le logiciel de gravure Cyberlink.

Notez que la Corbeille contenait elle plus de 10 Go de données, et n’avait de toute évidence jamais été vidée.

• En bas à gauche un bouton « Démarrer » bizarre =>

• Un petit clic dessus est l’on découvre que c’est « Desk 365 », qui offre la possibilité d’avoir un « vrai » menu démarrer sur Windows 8/8.1, mais aussi une tripoté de logiciels publicitaires et autres cochonneries lors de son installation… et en plus c’est en anglais  =>

• Petite vérification pour voir quelle version de Windows s’exécute =>

Aïiiieee… Un Windows 8 « premier du nom »… ppffffff…. Va me falloir en plus faire son upgrade vers la version 8.1, souvent problématique.

• Mais bon, on n’a pas fini de faire le tour des dégâts. Voyons ce qu’il se cache sur la barre de lancement rapide =>

Eh oui, 9 programmes indésirables…et zéro antivirus !

• …. Et pendant ce temps là sur le Bureau c’est la fête à neuneu =>

Ici ce n’est «que » 4 fenêtres qui se sont ouvertes.

J’ai zappé de prendre une capture d’écran quand j’en avais 8 !

… Et je n’ai pas encore activé le réseau Internet. Alors soyons fou, activons le Wifi…

***

INTERNET S’EMBALLE

 

• Et vlan !!! Même pas eu le temps de faire ouf, une première fenêtre qui s’ouvre : une tentative de « Lollipop », malware connu pour fourguer des pages de pubs et autres coupons de réduction.

• Et les pages s’enchaînent sans que je clique sur quoi que ce soit =>

Bref, il m’a fallu pas mal de trucs et astuces pour reprendre la main afin de pouvoir enfin rentrer dans les paramètres du navigateur constater les dégâts.

• La suite de la visite guidée, c’est par ici, ne traînons pas s’iouplait messieurs-dames =>

8 malwares dans la partie « moteurs de recherche », et les 4 autres « sains », disons qu’ils sont légitimes, à défaut d’être bons.

• Et maintenant au niveau des « barres d’outils et d’extensions » =>

Une belle brochette de saletés !!!

Fermeture du navigateur (enfin des fenêtres multiples qui ont profité que j’étais occupé pour s’ouvrir), et retour sur le Bureau.

• Tiens, j’ai faillis le louper celui-là, bien masqué en haut de l’écran =>

Après ce petit tour du propriétaire, début de la remise en ordre.

***

LE GRAND MÉNAGE

 

• On commence par trier et rassembler les inutiles, les malwares, PUP/LPI et autres nauséabonds de service =>

• Et pour déjà faire un premier nettoyage on va dégainer la trousse de première urgence =>

• ProcessExplorer confirme s’il en était besoin que une tonne de malveillants sont actifs =>

Regardez la colonne de chiffre rouge à droite : le nombre à gauche indiquant les scanners antimalwares qui ont détectés une infection, et le nombre à droite du slash indiquant le nombre de scanners mis à contribution… et il manque encore quelques lignes en bas que je n’ai pas capturé !

Un article de Didier (  ) sur ProcessExplorer : https://sospc.name/detecter-virus-process-explorer-didier/

• Adwcleaner a lui aussi recueilli un bon paquet de détection =>

833 détections pour être exact.

Article sur AdwCleaner : https://sospc.name/malwarebytes-adwcleaner-nouvelle-interface/

• Je ne clique pas sur le bouton « Nettoyer & Réparer », curieux de voir jusqu’où monte ZHPCLEANER et voir s’il bat mon record =>

Ha oui, pas mal… 1177 détections, il rentre dans mon top 30 quand même.

• Pour la curiosité, voici mon record pris sur un autre PC il y a 1 an et demi =>

Pour la précision : le chiffre correspond à un nombre de lignes « infectieuses » et non pas au nombre de logiciels infectieux. Un unique malware peut inscrire un peu partout plusieurs dizaines de ligne.

Mais bon, quand on en arrive à plusieurs milliers, on est dans un cas critique quand même.

Article sur ZHPCLEANER : https://sospc.name/zhpcleaner-2018/

(Note perso sur ZHPCLEANER : Nicolas Coolman, son créateur, reste l’un des rares éditeurs d’outils efficaces et libres. Pensez à faire un petit geste financier si vous utilisez l’un de ses produits  )

• Bon, j’ai relancé ces 2 derniers logiciels et appliqué les suppressions. Petit retour sur ce qu’il reste dans mon petit rassemblement sur le Bureau =>

Il y a eu du ménage par le vide !!! 

 

Le « FlashPlayerPro » n’est qu’un résidu vide, qui part à la « corbeille » avec l’installateur de Chrome, et le navigateur Chrome sera quant à lui supprimé avec Revo Uninstalleur.

Maintenant le système est prêt pour passer à la vrai désinfection : oui, ici l’on n’a retiré que les malwares les plus visibles et enquiquinants.

Il reste à traquer ceux qui se cachent, les plus dangereux au final : keyloggers qui récupèrent les mots de passe, les « zombies » qui asservissent les PC pour le compte d’un pirate, les crypto-monnaies qui prennent de la ressource système pour faire gagner de l’argent à quelqu’un d’autre, etc…

Pour la petite histoire, il m’a fallut utiliser pour finaliser le tout :

• une bonne douzaine d’outils supplémentaires pour finir la désinfection,
• 2 autres outils pour remettre d’aplomb le système et obtenir le passage de Windows 8 vers Windows 8.1,
• de longues heures de téléchargements et mises à jour système,
• et à la fin, formatage bas niveau du disque dur : ben oui, tout cela ce n’était que pour le fun, le proprio voulant Windows 7 à la place de Windows 8  : je sais, je suis un malade !!! 
• Mis à part la réinstallation de Win 7, cela a dû me prendre environ une quinzaine d’heures tout compris (je n’ai pas vraiment chronométré), mais j’aime bien ces petits challenges, on en apprend toujours à les réaliser. 

Je n’ai pas mis ici ces dernières étapes, fastidieuses et peu intéressantes pour le profane, où les résultats des scans sont peu évocateurs… et puis vous vous seriez endormis

***

Ce PC était une petite curiosité que je voulais vous faire découvrir.

Pas d’antivirus, des malwares de partout, et très certainement la personne qui a voulu avant moi le désinfecter s’est contenté de faire une recherche sur Google DEPUIS CE PC, avec des mots-clés du genre « désinfection gratuite » et a attrapé ainsi d’autres véroles, vu que comme les navigateurs étaient déjà infectés elle s’est faite diriger vers d’autres sites plus que douteux dans ses résultats.

Elle a voulu bien faire, mais n’a pas eu l’expertise nécessaire.

Adwcleaner et ZHPCLEANER sont des outils pratiques pour reprendre la main sur un PC, retirant les malwares les plus visibles qui gênent par leur blocage et fenêtres intempestives.

Suffisants pour corriger un petit malware qui par mégarde vient juste de s’installer et à changer par exemple la page d’accueil de votre navigateur ; mais dans des cas plus critiques ils seront utiles, mais bien entendu pas suffisants, et le passage vers un forum spécialisé dans la désinfection sera de rigueur.

Mesdames et Messieurs, fin de la visite guidée.

Par ici la sortie, et n’oubliez pas le guide dans vos commentaires 

A très bientôt 

AZAMOS

Les autres articles d'AZAMOS :  

 

***

Vous avez envie comme Azamos de publier sur Sospc sur un sujet qui vous passionne ?

Je vous propose de vous rendre ICI pour en savoir plus si vous êtes intéressé.

Christophe, Administrateur.