Methode suppression logiciels indesirables

2 436 vues

Publié le

Publié dans : Logiciels
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 436
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 459
Actions
Partages
0
Téléchargements
14
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Methode suppression logiciels indesirables

  1. 1. Voici un PC portable rempli de logiciels indésirables: C’est un PC de client et il y a dessus la totale (voila le pourquoi de cet article) détourneur de pages web, « optimiseur » de PC, fenêtre d’erreur à l’arrivée en session, lenteur de démarrage. Pas de virus dans le sens que aucuns de ces logiciels empêchent l’utilisation du PC. Comment supprimer ces programmes nuisibles ?
  2. 2. Avec le logiciel Iobit uninstaller (CF. article pour le lien) On peut désinstaller par lot les logiciels incriminés: Pas besoin d’attendre qu’un logiciel se désinstalle pour lancer la désinstallation d’un second logiciel: on coche et on valide les fenêtres de confirmation! Ce sera un bon début de nettoyage…
  3. 3. …Sauf que certains programmes nuisibles ne sont –finalement- pas supprimables par leurs désinstalleurs dédiés. Ce n’est pas étonnant vu leur nature. Dans ce cas on clic sur OK, ou sur annuler pour passer à la désinstall du programme suivant. On réglera ce problème par la suite
  4. 4. Autre souci sur ce PC: à l’entrée en session, une fenêtre d’erreur s’affiche qui dit: Le module spécifié est introuvable Comment connaitre le programme qui se cache derrière ce message d’erreur? Avec System Explorer (CF lien dans mon article): On clic droit sur la petite croix, ici encadrée en rouge mais qu’on voit mal et on choisi Process
  5. 5. L’onglet Processus ouvert, on glisse avec la souris l’icône qui représente une cible sur la fenêtre d’erreur..
  6. 6. Le fenêtre d’erreur se colore en rouge: Signe que System explorer l’a bien prise en compte
  7. 7. Puis on relâche la souris: Process Explorer surligne alors automatiquement le processus qui se cache derrière la fenêtre d’erreur Il s’agit du programme indésirable Speedup my PC et on voit son emplacement sur le disque dur… Auparavant avec Iobit uninstaller, je n’étais pas parvenu à le désinstaller: on verra dans la suite de cette diapo comment faire
  8. 8. Je vois beaucoup de programmes que je ne connais pas sur le PC à nettoyer. Hors; comment savoir si tel ou tel logiciel est utile, indésirable, facultatif ? Le logiciel Should I remove It (là aussi voir lien dans l’article) Répond à toutes ces questions..
  9. 9. Exemple avec DealPly: ce logiciel est « noté » en rouge ce qui veut dire qu’il est carrément nuisible: On désinstalle sans hésiter depuis le bouton Uninstall. Le bouton What is it? Dirige vers une page Web qui décrit précisément à quoi sert le logiciel choisit : On va voir ce que donne ce bouton avec le logiciel Speed Up my PC dans la diapo suivante..
  10. 10. Alors; que dévoile le bouton « What is it? » pour le logiciel Speedup my PC ? Ce n’est pas glorieux: Ce logiciel est contenu dans les fameux bundles de programmes: On croit récupérer un seul logiciel, mais lors de son installation, d’autres logiciels non souhaités sont proposés et précochés pour installation: Généralement un utilisateur lambda clic simplement sur « Suivant » sans décocher les programmes tiers et se retrouve avec une ménagerie inutile et invasive: Cela confirme que Speed up my PC doit être éradiqué du portable
  11. 11. Je passe au nettoyage des « véroles » Je télécharge ZHP Diag et ..ZHP (l’article pour les liens). ZHPdiag installe par défaut un autre logiciel: ZHPscript que l’on verra plus loin ZHPdiag scanne les zones sensibles du PC (registre en section démarrages, plugins de navigateurs Webs, etc) Pour ça je clic sur rechercher Il va dresser un rapport de ces zones En gros pour comprendre: -ZHPdiag génère un rapport -ZHP analyse le rapport et dévoile les entrées vérolée ou indésirables -ZHPfix supprime ces entrées
  12. 12. ZHPdiag fini son rapport en seulement quelques minutes (c’est pour ça que je l’utilise dans un 1er temps au lieu d’un antivirus classique!). Ce rapport au format texte est enregistré sur le bureau sous le nom ZHPDiag.txt J’ouvre ZHP (de son nom complet Zeb Help Process) et lui soumet le rapport en cliquant sur l’icone de dossier (Encadré rouge) puis en cheminant vers le bureau et enfin en double-cliquant sur ZHPdiag.txt
  13. 13. Quelques secondes suffisent à Zeb help Process pour analyser les entrées légitimes, superflus, indésirables et autres (voir les intitulés dans l’encadré rouge) ZHP représente son diagnostic sous la forme d’un rapport façon texte organisé en chapitres: ex chapitre navigateur, chapitre autoruns. Très instructif par rapport à un scan antivirus classique qui n’énumère que les fichiers infectés Je jette un œil en section Malwares (en diapo suivante)
  14. 14. Et bien, le PC est bien chargé ! 305 entrées malveillantes détectées. Chaque ligne présente soit: un fichier, un réglage, une clé registre infectés. et au début de chaque ligne, un code qui défini sa façon d’être « lancé ». Ex: R0 : page de démarrage de IE 04: démarrage auto d’un logiciel en session 039: Tache planifiée
  15. 15. Je clic sur Script: Cela génère une liste spéciale d’éléments à supprimer que je vais copier-coller dans le logiciel ZHPfix En fait, c’est simplement un script de nettoyage que sait interpréter ZHPfix…
  16. 16. Toujours dans Zeb Help Process: Depuis l’onglet Script je clic droit>Sélectionner tout Puis encore clic droit et Copier
  17. 17. Je quitte Zeb Help Process et ouvre En tant qu’administrateur ZHPfix (raccourci sur le bureau) ZHPfix se présente comme un gros champ texte vide. Je clic droit dedans et je choisis Coller Voilà donc comment fonctionne ZHP: Pour simplifier, on lui donne le script généré par ZHP et il va se charger de supprimer les éléments listés
  18. 18. Et voici le script copiés dans ZHPfix Si vous vous risquez à utiliser cet outil, ne vous trompez pas et vérifiez les lignes ! Cet outil de suppression est fait pour les professionnels: Il ne vous avertira pas si des éléments essentiels à Windows sont listés pour élimination Après vérification des données du listing je clic sur Go Pour lancer le nettoyage
  19. 19. Le nettoyage fini (quelques secondes), le rapport de suppression s’ouvre au format texte. Tout s’est bien passé mais il faut redémarrer l’ordinateur (encadré rouge) pour permettre à ZHPfix de finir son travail
  20. 20. Un redémarrage plus tard, le PC est enfin utilisable! Plus de fenêtres intempestives et détournement de pages web en plein surf. Cependant j’ai du réinitialiser manuellement la page de démarrage et le moteur de recherche de Google chrome Tout n’est pas fini: Il faut nettoyer en profondeur Windows avec un antivirus pour supprimer les scories MAIS désormais on peut utiliser le PC en même temps que de laisser tourner le long scan complet de l’ antivirus
  21. 21. Pour le scan j’utilise l’antivirus « ponctuel » Eset online scanner (CF lien dans l’article) Mes paramétrages pour le nettoyage apparaissent dans cette capture d’écran
  22. 22. 3 heures 48 minutes! C’est le temps qu’a mis Eset online scanner pour vérifier/supprimer les restes de malwares (fichiers d’installation essentiellement) Vous comprenez pourquoi les outils ZHP, ZHPdiag et ZHPfix sont si précieux dans un 1er temps: Quelques minutes suffisent à « dévéroler » le système et à le rendre fonctionnel. Ensuite un scan complet avec Eset se charge du reste en tâche de fond
  23. 23. Facultatif: Retour sur l’utilitaire System Explorer: Il me permet d’avoir un maximum d’informations sur un démarrage automatique, grâce à Google ou virustotal.com Ici pour lister les démarrages auto je clic sur la croix (encadrée en rouge) puis choisis Autoruns
  24. 24. Ici par exemple, à quoi peut bien servir le démarrage automatique nommé PLFSetl ? System explorer présente depuis l’onglet Autoruns: l’emplacement de l’exécutable, l’éditeur et son entrée de démarrage dans le registre Mais je ne sais toujours pas à quoi il sert : Je clic droit sur PLFSetl et choisi « Google Search »
  25. 25. Le navigateur Web s’ouvre avec comme paramètres de chercher le terme PLFSetl via Google. Résultat, Je sais désormais à quoi sert ce démarrage automatique (en faisant un peu le trie car les avis utilisateurs sur cette diapo sont tout sauf officiels): PLFSetl est donc un composant légitime pour le bon fonctionnement de la Webcam
  26. 26. L’ onglet Services regroupe les processus qui démarrent avant l’ouverture de session: Après avoir caché les services Windows (clic sur l’icône Windows encadrée en rouge) on y voit plus clair Quel est ce service Tor Win32 Service? L’exécutable se nomme tor.exe Un clic droit dessus puis sur « Contrôle Fichier » envoie le fichier sur virustotal.com
  27. 27. Le site virustotal s’ouvre alors automatiquement sur la page de diagnostic. Une minorité de moteurs antivirus considèrent le processus suspect: c’est sans doute des faux-positifs
  28. 28. De retour dans System Explorer; Je choisis quand même de placer le service en démarrage auto désactivé De toute façon ce n’est pas un service Windows et Je testerais ensuite le PC pour voir si il fonctionne correctement

×