Vous trouverez quelques procédures et les les deux programmes les plus couramment utilisés pour supprimer les rogues sont Combofix et Malwarebyte's Anti-Malware.
Si l'infection ou rogue bloque les fix de désinfection, utilisez Rkill afin de désactiver l'infection et pouvoir lancer Malwarebyte Anti-Malware ou Combofix.
Si le rogue tue Rkill, renommer Kill en iexplore ou winlogon.
Avril 2011 : Rogue Attack
Suite à une attaque SQL par injection qui touche 230 000 sites WEB - on note une grosse recrudescence des demandes de désinfection pour 3 familles de rogues.
Vous trouvez une procédure détaillée pour ces trois rogues en questions sur la page : Rogues Attack : Windows Repair et MS Tool Removal
Les programmes pour supprimer les rogues
RogueKiller
RogueKiller est un fix developpé par Tigzy qui permet de supprimer des rogues.
Adresse du site : http://www.sur-la-toile.com/RogueKiller/
Lancer l'option "Suppression" pour supprimer les rogues détectés.
Pensez à renommer le fix si ce dernier est bloqué par les rogues : winlogon, firefox etc.
Une fois RogueKiller passé, utilisez le fix suivant afin de prévenir les "Black Screen Of the Death" (voir plus bas) : http://dl.dropbox.com/u/27785321/FixShellQuietly.exe
Il suffit simplement de lancer le programme.
Voici une vidéo avec le rogue ThinkPoint :
Certaines familles de rogues peuvent bloquer le lancement de RogueKiller, voici une méthode pour passer outre le blocage.
Le lancement d'Internet Explorer (ou autre navigateur est bloqué) :
On ne peux pas taper d'adresse, on est redirigé :
La méthode consiste à lancer le Poste de Travail ou Mon ordinateur.
La barre d'adresse en haut doit être visible, il faut cocher dans le menu Affichage / barre d'outils / barre d'adresse.
Il se peut qu'elle se plaque à droite, vous devez alors désactiver le déverrouillage, toujours à partir du menu Affichage puis barre d'outils et verrouiller les barres d'outils.
Si celle-ci n'est pas visible, vous pouvez la déplacer en cliquant dessus et en maintenant le bouton gauche enfoncé.
Lacher la barre d'outils à l'endroit où vous voulez la placer.
- Copier/coller l'adresse de RogueKiller : http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
- et cliquez sur Enregistrer.
- Choisissez le bureau comme emplacement
- En bas dans le nom du fichier tentez de le renommer (RogueKiller.exe sera bloqué : RogueKiller.com ou winlogon.exe ou iexplore.exe
Par exemple avec cette famille de rogue (exemple avec Internet Security 2012, renommer en RogueKiller.com ne fonctionnera pas mais Winlogon.exe
Lancez-le, cela devrait fonctionner, choisissez Suppression comme option pour lancer la suppression.
~~
Avec Rkill
Voici une vidéo qui montre comment supprimer un rogue avec Rkill + Malwarebyte :
Sans Rkill - en mode sans échec
Si Rkill est sans effet, vous pouvez aussi tenter en mode sans échec avec prise en charge du réseau, pour cela : avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Une autre vidéo en redémarrant en mode sans échec (voir détails de la procédure sur cette page : https://www.malekal.com/Antivirus_Antis ... _suite.php ) :
~~
Supprimer le reste :
Retrouvez Combofix et Malwarebyte's Anti-Malware dans la procédure de désinfection Standard
Quelques liens pour désinfection de rogues spécifiques.
Une liste plus complète est aussi disponible à cette adresse : https://www.malekal.com/guide_supression_spywares.php
- Antivirus/Antispyware Soft/Suite
- Security/Internet 2010
- Rogue Faux Microsoft Security Essentials
- Antivirus 2010
- Security Tool
Ecran noir de la mort / Black Screen Of the Death
Certains rogues sont connus pour provoquer un "Black Screen of the death" (écran noir au démarrage et donc impossibilité de démarrer Windows).
Pour plus d'informations, pour tenter de rétablir la situation, se reporter à la page : https://www.malekal.com/2011/04/20/ecra ... r-windows/
Centre de sécurité qui ne fonctionne plus
Voir le paragraphe "remettre les services" : https://www.malekal.com/2011/04/04/rogu ... l-removal/
Plus de raccourcis
Cela est typique des rogues de la famille Faux Défragmenteur / réparateur d'erreur.
Vous devez lancer l'option Raccourcis RAZ sur RogueKiller pour récupérer les raccourcis.
Ecran bleu sans icône
Si vous avez un fond d'écran bleu sans icône suite à l'attaque de Windows XP Recovery, se reporter à la solution de ce lien : https://www.malekal.com/2011/05/31/ecra ... -recovery/
Après désinfection : Sécuriser son ordinateur
WIGI permet d'envoyer de manière anonyme l'historique de navigation afin de récupérer des adresses malicieuses et pouvoir les analyser.
L'envoie n'est pas obligatoire bien entendu.
Téléchargez WIGI sur le bureau: http://tigzy.geekstogo.com/Tools/WhyIGotInfected.rar
* Décompressez le tout avec un outil comme winrar / winzip / 7zip...
* Lancez WhyIGotInfected.exe
* Dans l'onget "History", cliquez sur "Scan".
* Si vous êtes d'accord pour envoyer de manière anonyme votre historique pour analyse, cliquez sur "Envoi".
Cet historique sera analysé par des spécialistes afin de retrouver des traces de ton infection pour la suivre et la prévenir.
~~
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Maintiens tes logiciels à jour c'est important, utilise ce programme : http://forum.malekal.com/logiciels-pour ... e-securite
Absolument à faire.
Plus d'informations sur la sécurité de son PC : http://forum.malekal.com/comment-securi ... ateur.html