Auteur(s) : Jesses Création : 08/03/2005 Mise à jour : 08/03/2005

 

Au secours j'ai un virus !

Votre antivirus vous informe de la présence d'un nuisible mais n'arrive pas à effectuer le nettoyage.

Si vous désirez une aide efficace pour lutter contre ce nuisible qui vous gâche la vie, il est nécessaire de fournir un minimum de renseignements lorsque vous appelez à l'aide.
Rien de bien difficile. Ce que vous ne connaissez pas, votre antivirus vous en a informé. Pourquoi ne pas nous en faire part ?
Ce qu'affiche un antivirus n'est pas là pour faire joli ou grand pro. Nous avons besoin de ces renseignements.

Pourquoi ce document ?
- Ne pas fournir les renseignements indispensables vous fera souvent perdre votre temps, les réponses fournies étant inadaptées.
- Il est épuisant de toujours répéter la même chose.
- Une réponse complète demandera un temps fou de recherches quand les renseignements sont incomplets ou trop approximatifs.
- A question vague, réponse bateau du genre "va faire un scan chez Secuser", utilise machin ou truc, formate, change d'antivirus, ...
- Si vous pensez "je n'ai pas de temps à perdre, débrouillez-vous avec ça", ne vous attendez pas à un investissement de notre part.
(Là, j'exagère mais c'est l'impression que donnent certains appels à l'aide).

Suivent quelques conseils de base qui vous permettront d'essayer de vous dépanner avant d'appeler au secours.
Si votre antivirus a détecté le nuisible, il doit pouvoir effectuer le nettoyage si on l'aide un peu.
A nous d'essayer de l'utiliser au lieu de le critiquer et/ou de vous en conseiller un autre.
Sauf si d'autres outils sont mieux adaptés à la nature du nuisible (c'est le cas des spywares/adwares ou de certains "trojans").

Les renseignements à fournir

Indispensable

  1. Quel est votre système d'exploitation ? Windows 98, Me, 2000, XP ?
  2. Quel est l'antivirus qui a effectué la détection ?
    Comme aucun n'utilise les mêmes appellations pour un nuisible donné, les recherches sont une vraie galère sans ce renseignement.
  3. Quel est le nom exact du nuisible détecté ?
    Exact, tel qu'il a été signalé par l'antivirus, sans fantaisie dans l'écriture (sans ajouter ou supprimer des espaces ou des caractères).
    Cela fait gagner du temps pour la recherche.
  4. IMPORTANT !!! Quel est le chemin exact et complet des fichiers détectés ? (Nom des fichiers et dossiers dans lesquels ils se trouvent).
    Cela l'antivirus vous l'a dit, ou vous le trouverez dans son journal. Cette information qui est la plus importante n'est presque jamais donnée !

Facultatif.

Pour avoir une aide personnalisée, vous pouvez aussi ajouter :
  1. Quel est votre niveau de compétence ?
  2. Savez-vous naviguer dans les dossiers, retrouver puis supprimer un fichier ? Naviguer dans la base de registre ?
    Doit-on tout expliquer ou maîtrisez-vous ces techniques ?
  3. Possèdez-vous des logiciels anti-spywares/adwares comme Spybot, Ad-aware, Microsoft Antispyware, HijackThis, ... ?
    (Spybot peut-être intéressant pour éviter le surf dans la base de registre, interrompre un processus).
  4. Qu'avez-vous essayé ?

Exemple de renseignements complets, cela ne représente quand même pas un travail énorme :
Windows XP, Norton 2005,
Trojan.StartPage.C détecté dans C:\Windows\System32\uewxdir.exe et C:\Windows\System32\handlesys.exe
Niveau débutant. Je sais  trouver un fichier mais je ne suis jamais allé dans la base de registre. J'utilise Spybot et Ad-aware.
J'ai essayé un scan en mode sans-échec sans succès.

 

Que pouvez-vous tenter ?

Dans la majorité des cas, votre antivirus n'arrive pas à travailler pour les deux raisons suivantes :

Le dossier contenant le fichier détecté est inaccessible.

C'est par exemple le cas des dossiers :

C:\_RESTORE\ (pour Windows Me) ou C:\System Volume Information\ (pour Windows XP).

Ces dossiers contiennent les points de restauration du système. Ils sont normalement inaccessibles, aussi bien par vous que par un anti-virus.
Tant qu'une restauration système n'est pas effectuée (à votre demande), vous ne risquez pas grand chose.
La procédure est toujours la même : désactiver la restauration, redémarrer, scan antivirus, réactiver la restauration. C'est expliqué ici.
Si vous êtes dans ce cas, ne pas fournir le chemin des fichiers détectés vous fera purement et simplement perdre votre temps (et le notre).
Aucune des solutions proposées ne fonctionnera.

Le processus est actif, votre antivirus n'arrive pas à l'interrompre.

Vous devez l'aider un peu. Pour interrompre un processus, encore faut-il le connaître...
Quand je vous disais que l'information "chemin du fichier détecté" est absolument nécessaire !
Cela mérite un paragraphe à part.

Interrompre le processus du nuisible

La majorité des nuisibles se lancent au démarrage de Windows.
Il y a mille et une façons de le faire. Certaines méthodes sont particulièrement vicieuses.
Hors de question de les voir toutes ici. Je n'envisage que les plus courantes.
Voici trois solutions possibles.
Une fois le processus stoppé, lancez le scan antivirus.

Solution 1 : Le mode sans-échec ou diagnostic

Le principe :

Dans ces modes restreints, seul le minimum indispensable est lancé au démarrage de Windows.
On peut donc espérer que le nuisible ne sera pas actif.

Tous les antivirus ne fonctionnent pas dans ces modes (Norton oui, Securitoo non, scan en ligne encore moins). Vérifiez avec votre antivirus, je ne les connais pas tous.
A signaler : Symantec (Norton) le conseille pour chaque nettoyage difficile.

La mise en oeuvre :

Comment redémarrer en mode sans-échec ?

C'est expliqué ici.

Solution 2 : Le gestionnaire de tâches

Le principe

Admettons que votre antivirus vous signale une infection dans  C:\Windows\System32\SaleBete.exe
Vous voyez que cette information est importante !
Vous pouvez essayer d'interrompre le processus SaleBete.exe avant de lancer le scan antivirus.
(Et tous ceux qui ont été signalés par l'antivirus).

La mise en oeuvre :

Comment interrompre un processus ?

C'est expliqué ici.

Attention ! Il faudra lancer le scan juste après, sans redémarrer Windows.

Solution 3 : La liste de démarrage

Le principe :

Le nuisible s'est inscrit dans la base de registre pour pouvoir se lancer au démarrage de Windows.
S'il ne se lance pas d'une façon trop vicieuse, nous devrions pouvoir nous en sortir.
Nous allons essayer de le désinscrire, redémarrer Windows puis lancer le scan.

La mise en oeuvre :

Vous devez désactiver les entrées relatives aux fichiers déclarés lors du scan.

C'est expliqué ici.

Après désinscription du nuisible, redémarrez Windows et lancez le scan antivirus.

Conclusion

Voila, vous aurez tenté l'essentiel.
Si vous ne vous en sortez pas, vous fournirez au moins tous les renseignements pour obtenir une aide efficace sur le forum.

Bon courage.

 

Jesses Entraide. Création 03/2005