ForumCrack

Hello,

De temps en temps quand je détecte un virus je nettoie mon Ordi, Antivirus, Antispy et toute la clic.
Mais ça prend toujours beaucoup de temps Et parfois quand ce n'est plus possible, la réinstallation complète est obligatoire.


J'aimerai me mettre à mon compte en info, et forcément le problème des virus sera de la partie.
Je me demandais donc comment font les professionnels pour nettoyer le PC d'un client tout en restant rapide pour ne pas que la facture explose.

Que font-ils exactement, réinstallent-t-il Windows complètement ? (et donc les logiciels installés sont perdus)
Existe-t-il des logiciels spécialisés qui sauvegardent les logiciels installés et toutes leurs entrées (Dans le registre et autre)

Je sais pas ce qu'ils fond ? Et vous ?

je vais casser un mythe les soit-disant pro comme tu l'entends n'existe pas dsl
ou alors ca existe mais il se cache ( du moins ceux de windows ), exact ca depasse rarement la reinstalle et l'utilisation d'antivirus.

Ma recette perso contre les virus, qui n'est pas non plus la recette ultime .

J'utilise dropmyright avec les navigateur web car j'ai pas confiance en eux ,sauf Firefox ou les addons me permettent de n'executer que ce que je veux flash , java , javascript , les videos etc.... on dira ce qu'on veut mais IE n'est pas aussi simple que ca a configurer , et surtout comprendre les traductions approximative dans le menu options , et pour ce qui est de Chrome et ben vive le drive by download quoi.

Pour les applis, sachant que j'ai pas non plus confiance en certaines , j'utilise sandboxie histoire de ne pas avoir de mauvaise surprise mais je fait ca surtout avec des trucs dont j'ai pas envie de me prendre la tete (possiblement verolee) avec genre visual basic , VC6 et d'autres ( trouver sur megaup )

Ensuite je fait une sauvegarde de %windir% et de la base de registre juste apres l'installation et une sauvegarde reguliere apres avoir installer un soft ou apres les mises a jour (en supprimant les vieilles backup).

-Pour la base de registre tu vas dans l'editeur clic droit sur le poste de travail et exporter ( ca fait une sauvegarde de la base censee etre propre ), ou voir suivant...

-Pour %windir% -->demarrer -->executer et ntbackup et dans le menu sauvegarder tu recherche le nom du repertoire d'installe de windows en generale s'appelle windows mais a l'installe tu peut changer le nom ( a tout hazard si tu t'en souviens pas tu fait demarrer executer %windir% )
(le suivant donc -->)ntbackup permets aussi la sauvegarde des registres et des fichiers de conf de demarrage ( un truc qui s'appele system gate quand tu derouleras poste de travail ).

Bon apres ca c'est juste ma maniere a moi de faire , tu peut aussi utiliser des soft qui font ca et sauvegarder tout ton systeme via un ghost ou autre ....

apres reste les virus/rootkit qui sont pas detecter ou detecter plusieurs jours mois voir annee apres ( mebroot n'etait pas detecter par tous jusqu'a il y a pas longtemps et meme confiker a ete detecter apres l'infection mais le jour J rien ).
Donc j'ai un arsenal pres a degainer gmer , kernel detective , spydllremover , unlocker/avenger , ProcL il te faut trouver celui qui te va le mieux hxxp://www.antirootkit.com/

autre point apprends a manier le CD windows en bootant dessus il y a un menu reparer qui te permets d'avoir un shell , tres utile quand un virus empeche un boot normal.

Mais a l'installe tu peut aussi faire une installe personnaliser histoire de ne pas perdre tout d'un coup.
genre une partoche pour les fichiers propre a windows , une partiton que t'utiliseras pour installer tes soft (remplacera program files) , une partition mes documents : apres tu creer un point de montage vers le Dossier Mes Documents etc..

Dernier truc avoir un CD linux avec un antivirus a jour dessus genre celui de F-secure ou bitdefender , un CD Gparted/photorec , et un CD dedier au forensic just in case

il est 2H07 chuis fatiguer

De bons conseils _solo, mais ca sent l'utilisateur averti , tu pourrait aller encore plus loin en protegant certaines
cles de regsitre contre l'ecriture (c'est assez efficace pour passablement de malwares), il faut refaire la manip
inverse quand tu installe un logiciel ou un composant IE, mais l'avantage c'est qu'en cas de doute, tu reboot et
tu as toutes les chances de ne plus avoir le probleme en memoire... , c'est vite scripte.

Toutefois toutes ces manipulations ne sont pas forcement possibles chez un client. Et poser une batterie de
programmes anti-ci, anti-ca, chez quelqu'un qui n'as pas de notion d'infromatique, c'est le meilleur moyen de
finir avec des produits outdates, non fonctionnels, ouverts au maximum.....avec un utilisateur qui lui sera
confiant (ben oui, il dispose de ce qu'il y as de mieux ). Mauvais cas de figure. Sans compter que des qu'on
sort de l'environnement 'home', il ne sera pas forcement possible de deployer toutes ces solutions. Certaines
applications 'metier' sont tres sensibles.

Il faut quand meme voir une chose, c'est que la majorite des problemes sont basiques a resoudre. Une cle USB
bootable, ou liveCD avec quelques outils suffit souvent a nettoyer le PC. Avant de re-installer un AV on peut
facillement le tester avec la chaine EICAR.

Il faut aussi voir que si tu debarque chez un client qui a ce genre de problemes, les clients suivant que tu va
voir auront probablement le meme probleme...lorsqu'une saloperie tourne, ils sont beaucoup a se la chopper..

Comme dans tous les domaines, l'experience est une composante non negligeable, et t'ammenera a analyser
et desinfecter un systeme de plus en plus rapidemment. Par contre il est a mon avis plus efficace de commencer
par un nettoyage manuel avant de se reposer sur des outils...souvent ces derniers ne sont pas necessaires.

Apres faut pas avoir peur de se faire ses propres outils. Perso j'ai opte pour une solution plutot rustique, mais
assez efficace, je charge sur le systeme infecte un programme qui va me bloquer tous les processus excepte les
quelques uns necessaire au fonctionnement de windows (c'est tres reduit), avec la possibilite de temporairement
lancer des outils comme regedit, cmd.exe, etc...


etherlord

Si je comprends bien, tu veux monter ta boite d'assembleur/réparateur info et tu veux savoir comment font les autres boutiques pour désinfecter le PC de Mme Michu rapidement.

Globalement, ils le font mal

* Soit Antivirus local amené par clef USB
* Soit Boot sur un autre média/PC et désinfection à l'aide d'un système tiers
Dans les deux cas, le nettoyage est généralement fait avec un seul AV et un seul anti-(malware|spyware)
* Soit réinstall du PC avec recopie des données. (Ca se limite généralement à la reprise des données dans le profile du user) Pas de réinstall des softs.

Etherlord a très bien analysé le problème du PC de Mme michu :
* Pas d'antivirus ou pas à jour
* Pas de notions de sécurité. Elle pense bien à fermer sa voiture à clé mais ne ferme pas son firewall.
* Pas de sauvegarde

Tu pourras toujours essayer d'éduquer les clients qui achètent un PC chez toi, mais comme tu l'as bien dit, tu auras de toute manière le problème des virus.

Le plus gros problème est le ratio temps passé / argent demandé. Si tu passes trop de temps sur un PC, tu gagnes rien, parfois même pas le sourire du client. Si tu réinstalles les PC à chaque fois, tu n'auras bientôt plus de client !
À toi de construire ton jeu d'outils pour détecter et éradiquer rapidement la racaille informatique sans réinstaller le poste. _solo et Etherlord ont tous deux donné des pistes intéressantes. Le plus dur est de ne pas être démoralisé quand le PC revient 2 jours plus tard, toujours aussi infesté !

Bonne chance !

C'est pas très joyeux joyeux tout ça C'est la démerde quoi !

_solo, dans l'ensemble ta technique me paraît bien, sauf qu'elle concerne la partie "comment se protéger" et non pas "comment désinfecter un PC tiers". Y a un truc qui me chiffonne en plus... tu me dis que d'une part tu fais une copie du registre et d'autre part une copie du répertoire Windows (donc system)... Ca me pose un soucis quand même, parce que dans l'hypothèse où mon PC est déjà infecté, si je réinstalle ces deux composants qui sont principalement le moyen de se lancer et l'endroit privilégié de dépôt des virus et autres saloperies, alors c'est comme si je les réinstallais aussi.

Ouai c'est pas simple cette histoire. Je sais nettoyer mon ordi, mais j'ai pas envie de passer 4h00 chez qq'un j'aurai l'impression de l'arnaquer. J'ai encore moins envie de faire des réinstalls, parce que le jour où il y aura de gros logiciels genre suite adobe dessus, ça risque de faire moyen chez le client.

Ceci dit je vais voir ce que valent vos techniques et logiciels. Faut que je me shoppe quelques virus pour essayer. (c'est con!)

Perso, j'avais pensé à creer un petit programme capable de hooker la fonction CreateProcess, et lui apprendre tous les processus de base utilisés par windows pour qu'ils les laisse s'exécuter. Par contre tous ceux inconnus qui utiliseraient CreateProcess pourraient être détournés pour regarder les paramètres passés sur la pile et ainsi savoir qui tente de lancer quoi.

PS : Si qq'un a déjà travaillé dans une boîte de dépannage j'aimerai bien discuter avec lui.

@etherlord en protegeant le cle de la base de registre la rends un peu plus sur, mais le probleme c'est que lors des mises a jour il peut y avoir modification et des fois ils sont importants , enfin a une epoque je mettais meme des ACLs sur des objets en memoire et sur des semaphore

oui c'est vrai j'ai pas preciser apres l'installation du systeme ou l'installation d'un soft douteux je fait un audit des soft avec winscanX , et ensuite diffing de la BDR , et pareil pour %windir% je verifie la liste des programmes avant et apres installation , tu fait un tree windir >>fichier.txt apres l'installation d'un autres soft tu fait la meme en changeant le nom du fichier et voit ce qui peut paraitre louche.

dit toi bien qu'un tech qui depanne plus de 5client dans une journee , c'est extremement rare, et rien mais vraiment rien ne remplacera l'experience , sachant qu'en generale les clients te raconte des bobards sur le pourquoi ils sont infecter ( film X , site hautement douteux , crack etc..... )


si tu n'as pas java a jour ou si ton acroread n'est pas a jour va sur megastreaming , je te garanti une depression si tu n'as pas l'habitude du shell de depannage de windows

truc que j'ai oublie de mentionner dans mon precedent post 'est que windows possede aussi un mode reparation automatique de %windir% et des principales cles de registre, mais perso je n'utilise pas ce mode , et il n'efface pas les soft mais modifie quelques cles de registre qui s'outorepare mais je sais pas comment se passe cette autoreparation .

Bonjour Morgatte

Quand je dépanne un PC trés infecté, je donne le deal au client, 50€ en atelier , parce que pendant les scans on fait autre chose, ou 150€ ici parce que pendant les scans les minutes passent ou enfin formatage, c'est rapide, pas cher mais on perd tout .

C'est marrant comme je retrouve les PCs en atelier


Si tu veux faire un peu d'exercice

http://www.corsica-informatica.fr/fra/vir0.html

Salut Morgatte,

Pour avoir pratiqué du dépannage à domicile (histoire de se faire un peu de sous), je connais bien la galère.
Déja on pense tout savoir et finalement, ben on voit qu'on à beau connaitre certaines notion avancées en info, on peut parfois être bloqué par des problèmes tout con.

Perso j'ai appris sur le tas, et je pense que je ne vais rien apporter de nouveau concernant les précédents posts. Pour la désinfection: c'est la débrouille totale.

Pour ma part, 5 choses essentielles dans ce cas: Process Explorer, Runscaner, Setup Antivir personnal edition, CD de win XP SP2 (Pour Vista et surement Seven, la plupart des PC récents incluent une partition de récup dc pas de CD) et DD externe.

Dans le cas d'un virus (tous les exe de l'OS infectés, pas le choix, faut formater, et au passage sauvegarde le max de document du client sur un DD externe. Y'a une fois ou le virus était tellement bien aboutit que le PC ne reconnassait plus les port USB, la j'ai galéré.

Dans le cas d'un trojan ou autre truc dans le genre, c'est plus simple.

RE

C'est sur que si tu prends un win32Parité
Plus que le formatage.

Merci pour vos conseils