Comment supprimer un virus manuellement?

Written by Administrator | Sunday, 20 September 2009 07:21

On peut supprimer un virus manuellement si le fichier du virus est isolé, c'est à dire, le virus n'est pas un virus de fichiers exécutables.
En supposant que vous savez déjà tous les symptômes du virus, le processus est divisé en trois étapes :

Arrêt du processus

Suppression des fichiers créés par le virus

Suppression des paramètres qui lancent le virus et les paramètres qui ont été modifié par le virus.

En supposant aussi que vous n'utilisez aucun outil spécial pour arrêter le processus ou pour supprimer les fichiers ou pour accéder à la base de registre de Windows.
Les outils que nous allons utiliser sont :

Le gestionnaire des tâches de Windows

gpedit.msc

cmd.exe

regedit.exe

notepad.exe

1 - Pour arrêter le processus (malware) nous allons utiliser le gestionnaire des tâches de Windows mais cet outil est le premier cible des virus et est rarement disponible, il faut donc redémarrer le système en mode sans échec et ouvrir le compte administrateur principal.
En mode sans échec, seul les applications indispensable au fonctionnement du système seront chargés par Windows, donc, le virus n'est pas lancé ainsi que votre antivirus, inutile d'arrêter le virus donc, nous allons suivre cette voix.
Mais malgré tout si vous voulez quand même arrêter le virus en mode normal, appuyez simultanément sur les touches CTRL+ALT et DEL (ou CTRL + SHIFT + ESC), cliquez sur l'application à arrêter et cliquez sur terminer.

2 - Suppression des fichiers
La plupart du temps, les fichiers exécutables des virus sont cachés et vous ne pouvez pas les supprimer, il y une chance vraiment minime pour que l'option des dossiers dans le menu affichages soit visible, donc, il faut patauger dans l'invité de commande (cmd) de Windows.
Pour ce faire, cliquez sur le bouton Démarrer puis Exécuter, tapez cmd puis validez.

Mais si le menu exécuter n'est pas disponible, alors, cherchez le fichier cmd.exe dans le répertoire système (ex: C:\WINDOWS\system32\cmd.exe), double-cliquez dessus pour le lancer, si vous voyez un message d'erreur, changer le nom du fichier (ex:changez cmd.exe en cmd1.exe) puis relancez la commande.

Pour supprimer un fichier sous l'invité de commande, on utilise la commande del (ex: del autorun.inf) mais le problème ce que la commande del(sans option) ne supprime pas les fichiers cachés ou systèmes, donc il faut d'abord changer l'attribut du fichier. On peut supprimer directement le fichier avec del fichier.exe/ah mais mieux vaux être sûr de ce que l'on fait, alors, listons d'abord les fichiers dans le répertoire.

La commande dir affiche les fichiers dans un répertoire mais nous allons utiliser directement la commande ATTRIB qui peut en même temps changer l'attribut de fichiers et d'afficher tous les fichiers dans un répertoire.
ATTRIB sans options affiche tous les fichiers dans un répertoire et tous ses attributs.

Exemple:Pour lister tous les fichiers dans le répertoire racine C: de ma machine,

C:\Documents and Settings\Administrateur.CHRISTIA-6FFDF9>cd\
C:\>attrib
A C:\AUTOEXEC.BAT
SH C:\boot.ini
A SHR C:\Bootfont.bin
A C:\CONFIG.SYS
A SH C:\hiberfil.sys
A SHR C:\IO.SYS
A SHR C:\MSDOS.SYS
A SHR C:\NTDETECT.COM
A SHR C:\ntldr
A SH C:\pagefile.sys

On vois bien que le fichier AUTOEXEC.BAT a un attribut A (Archive) alors que le fichier io.sys a comme attributs :
A (Archive)
S (System)
H (Hide, caché)
R (Read Only, lecture seule)

Si vous tapez donc del io.sys, il ne se passera rien à part une erreur disant : "Impossible de trouver C:\io.sys". Nous n'allons pas supprimer le fichier io.sys bien sûr, sinon notre machine ne va plus redémarrer.

Remarquez que vous pouvez utiliser les filtres pour l'affichage
EX: ATTRIB *.exe

Pour activer un attribut, on met le signe + devant l'attribut et un signe - pour le désactiver.

Exemple
Pour activer l'attribut caché d'un fichier nommé fichier.txt:
ATTRIB +H fichier.txt
Les fichiers des virus sont parfois en SHR, donc pour les désactiver, on tape
ATTRIB -S -H -R nom_virus.ext
Ex:
C:\>ATTRIB -S -H -R autorun.inf
C:\>ATTRIB -S -H -R explorer.exe
A partir de ce point, vous pouvez supprimer les fichiers avec la commande del
C:\>del autorun.inf
C:\>del explorer.exe

Prenons un exemple du virus Autorun-C[Trij]/Win32.NSAnti.r
Les fichiers du virus sont :
C:\autorun.inf
C:\avpo.exe
C:\Windows\avpo0.exe
C:\Windows\avpo0.dll
C:\Windows\avpo1.dll
Ces fichiers sont tous cachés évidement.
Il faut d'abord désactiver les attributs S (System) R(Read Only) H(Hide) de ces fichiers
Faites attrib -s -h -r nom.ext pour chaque fichier
Après, il faut les supprimer tous.

Commande détaillé :
Menu démarrer => Exécuter => Tapez cmd puis validez
Voilà en détail ce qui se passe à l'écran, vous avez à taper les textes en noir
C:\Documents and Settings\Administrateur.CHRISTIA-6FFDF9>cd\
C:\>attrib -s -h -r autorun.inf
C:\>attrib -s -h -r avpo.exe
C:\>cd Windows\system
C:\Windows>attrib -s -h -r avp*.*
C:\Windows>del avp*.*
C:\Windows>

C'est fini mais le mieux est de créer un fichier batch afin de faciliter les tâches et aussi pour automatiser le traitement.

Voir le FAQ : Comment créer un fichier batch?

Comment supprimer un virus manuellement?

Add comment