Désinfection : modes d'emplois des logiciels

/!\ Avertissement /!\ :  
- ce sujet n'est pas destiné à encourager "l'auto-médication". Certains programmes sont dangereux, si vous voulez les utiliser convenablement, demandez d'abord de l'aide sur le forum.
- la plupart des programmes doivent être exécutés sans protection pour ne pas être bloqués, veillez donc à désactiver antivirus et pare-feu avant de lancer les programmes.

Pour savoir comment transmettre vos rapports, suivez ce lien : https://morbak-home.forumgratuit.org/t349-ou-heberger-les-rapports-pour-desinfection

Pour alléger le contenu des sujets sur le forum, nous avons décidé de répertorier les modes d'emploi concernant les programmes de désinfection que nous utilisons le plus souvent. Vous trouverez dans la liste ci-dessous, tous les modes d'emploi. Pour accéder rapidement au programme que vous voulez, cliquez simplement sur son nom dans la liste.
Suivez bien les indications données dans les modes d'emploi et n'utilisez que les programmes qui vous sont demandés par la personne qui vous aide. L'utilisation de programmes inadaptés pourrait entrainer des dysfonctionnement de votre système.

Les programmes sont classés par ordre alphabétique et selon leur fonction principale. Pour éviter de mettre un programme par catégorie, certains sont regroupés dans la liste "Divers". La liste "Spéciaux" regroupe les programmes réservés au nettoyage des infections les plus coriaces.

Analyse du système : Farbar Recovery Scan Tool (FRST), ZHPDiag et ZHPFix (nettoyage de rapport ZHPDiag)

Anti-adware : AdsFix, AdwCleaner, Junkware Removal tool (JRT), ZHPCleaner

Anti-malware généraliste : Dr.Web CureIt, Dr.Web LiveDisk, Emsisoft Emergency Kit, Kaspersky Removal Tool, Malwarebytes Anti-malware, Malwarebytes Chameleon, RogueKiller

Anti-rootkit : AswMBR, Eset Sirefef Cleaner, Gmer, Malwarebytes Anti-Rootkit, TDSSKiller

Divers : Eset Services Repair, Farbar Service Scanner, FindyKill, LogonFix, OldTimer's Move-it (OTM), RegToolExport, Rkill, RstAssociation, RstHosts, SFCFix, WinUpdateFix

Nettoyage USB : USBFix

Scanner en ligne : BitDefender Quick Scan, Eset Online Scanner, Kaspersky Security Scan

/!\Spéciaux (réservés aux infections coriaces telles que Virut/Ramnit...) : AVG rem_virut, ComboFix, ComboFix - effets secondaires, Kaspersky VirutKiller

AdsFix:

Télécharger AdsFix sur le bureau : https://genhackmantools.wordpress.com/canned-adsfix/
Fermer tous les programmes en cours d'utilisation (Navigateur Internet, Word etc...)
Désactiver temporairement la protection en temps réel de l'antivirus et le pare-feu
Exécuter AdsFix (Sous Vista/7/8 : Exécuter en tant qu'admin)
Cliquer sur Options, puis Débloquer la suppression
Cliquer ensuite sur Nettoyer et attendre le rapport
Le bureau disparaitra et le programme fera redémarrer le pc, c'est normal
Le rapport sera enregistré sur le bureau et sous C:\AdsFix_date_et_heure.txt
Héberger le rapport et poster le lien

Si des dysfonctionnements sont observés après nettoyage, redémarrer le pc et tout devrait rentrer dans l'ordre.

Note : Après le nettoyage, les fichiers mis en quarantaine seront automatiquement envoyés au concepteur pour lui permettre d'améliorer le programme.

Pourquoi l'utiliser : Ce programme est un Anti-adware. Il supprime les programmes potentiellement indésirables, logiciels publicitaires, barres d'outils, moteurs de recherche, extension de navigateur etc... qui sont bien souvent installés à l'insu de l'utilisateur et ralentissent le pc.

AdwCleaner :

Télécharger AdwCleaner sur le bureau.
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
Sous XP double-clic sur le fichier d’exécution.
Sous Vista et Seven, clic droit/exécuter en tant qu'admin.
Cliquer sur Scanner
Une fois le scan fini, cliquer sur Nettoyer
Un redémarrage sera effectué pour supprimer les éléments.
Le rapport est sauvegardé sous C:\AdwCleaner\Adwcleaner[S0].txt
L'héberger et poster le lien.

ATTENTION :
- Ne lancer qu'une suppression avec le programme et poster le rapport de suppression. Effectuer plusieurs suppression est inutile, de même que poster un rapport d'analyse vierge (après nettoyage)

Pourquoi l'utiliser : Ce programme est un Anti-adware. Il supprime les programmes potentiellement indésirables, logiciels publicitaires, barres d'outils, moteurs de recherche, extension de navigateur etc... qui sont bien souvent installés à l'insu de l'utilisateur et ralentissent le pc.

Junkware Removal Tool :

Télécharger Junkware Removal Tool sur le bureau : https://fr.malwarebytes.com/junkwareremovaltool/
Fermer les programmes en cours
Double cliquer sur JRT.exe (Sous Vista/7/8 : clic droit/Exécuter en tant qu'admin)
Suivre les instructions du programme et appuyer sur une touche quand il le demande
Une fois le rapport affiché, l'héberger et donner le lien sur le forum
Tuto ici :  http://assiste.free.fr/Assiste/Junkware_Removal_Tool_JRT.html#Junkware_Removal_Tool_JRT_utilisation

Attention, JRT supprimera tous les logiciels potentiellement indésirables comme par exemple Messenger Plus.

Pourquoi l'utiliser : Ce programme est un Anti-adware. Il supprime les programmes potentiellement indésirables, logiciels publicitaires, barres d'outils, moteurs de recherche, extension de navigateur etc... qui sont bien souvent installés à l'insu de l'utilisateur et ralentissent le pc.

Malwarebytes Anti-Malware :

/!\ Attention, l'examen qui suit peut durer plus d'une heure
Fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
Télécharger et installer : Malwarebytes Anti-Malware
https://fr.malwarebytes.com/
ou https://downloads.malwarebytes.com/file/mb3/
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
A la fin de l'installation, décocher l'essai de la version Premium si proposé

Connecter tous les supports amovibles possibles sur le pc avant de faire l'analyse (clés USB, disque dur externes etc...)
Si il ne se lance pas automatiquement, double cliquer sur le raccourci pour l’exécuter
Sous Vista ou plus récent, clic droit/exécuter en tant qu'admin.
Si il est en anglais, vous pouvez le mettre en français en cliquant sur le menu Settings/Display language
Dans la section "Etat de l'analyse" de l'onglet "Tableau de bord", vous pouvez voir si la base de donnée est à jour ou non.

/!\ Uniquement en cas de problèmes de mises à jour, télécharger et exécuter ce fichier : http://data-cdn.mbamupdates.com/tools/mbam-rules.exe
Pour lancer un scan complet, aller dans l'onglet "Analyse", choisissez "Analyse personnalisée" et cliquez sur "Configurer l'analyse"

Dans la partie droite de la fenêtre, cocher tout sauf les lecteurs CD/DVD
Dans la partie gauche, cocher toutes les cases et régler sur "traiter les détections comme des malwares"
Cliquer ensuite sur "Analyser maintenant"

Si vous avez un message disant que pour l'analyse rootkit il faut sélectionner le disque système complet, c'est que vous n'avez pas coché le lecteur C.

A la fin du scan, si des infections sont trouvées, cocher tous les éléments et cliquer sur Quarantaine Sélectionnée

S'il est demandé de redémarrer, cliquer sur Non
Cliquer sur "Suivant" après le nettoyage et cliquer sur "Exporter le résumé".
Choisir "Fichier texte" et enregistrer le rapport sur le bureau
Redémarrer le pc si c'était demandé.
Héberger le rapport et poster le lien après le redémarrage.

Si le pc a été redémarré avant l'enregistrement du rapport, il sera accessible dans l'onglet "Comptes-Rendus" de Malwarebytes, sous le nom "Compte-rendu d'analyse"
Double-cliquer sur la ligne correspondant à l'analyse effectuée pour l'ouvrir et l'enregistrer (Exporter).
Exporter le rapport sur le bureau (format txt), l'héberger sur http://www.cjoint.com et poster le lien même si rien n'est détecté.

Pourquoi l'utiliser : Ce programme est un Anti-malware. Il dispose d'une base de données très variée qui lui permet de détecter une grande diversité d'infections. Comparable à un médecin généraliste, son rapport permet de savoir quels autres programmes spécialisés utiliser pour une désinfection efficace.

Malwarebytes Chameleon :

Si l'installation de Malwarebytes Anti-malware ou si l'accès au dossier est impossible (infection Bagle par exemple), ou si malwarebytes ne démarre pas, utilisez Malwarebytes Chameleon téléchargeable ici
Chaque fichier (sauf "chameleon.chm" et "mbam-killer.exe") démarre MBAM Chameleon qui va forcer le démarrage de Malwarebytes Anti-Malware. Le programme est renommé pour tromper les infections qui pourraient bloquer son exécution.

Note : Si Malwarebytes Anti-malware (32 bits) est déjà installé sur le disque dur, Chameleon peut être lancé depuis le dossier C:\Program Files (x86)\Malwarebytes Anti-Malware\Chameleon\Windows

Chameleon ne fonctionne qu'avec cette version de Malwarebytes anti-malware. Si vous avec une version 64 bits, il n'est pas inclu, et son utilisation depuis le téléchargement du zip ne reconnaîtra pas la version 64 bits, donc il téléchargera et installera la version 32 bits de Malwarebytes anti-malware. Si c'est le cas, un redémarrage sera demandé après l'installation.

Si Malwarebytes Anti-malware est installé (32 bits), ouvrez le dossier C:\Program Files (x86)\Malwarebytes Anti-Malware\Chameleon\Windows

Si le dossier est inaccessible ou si vous avez malwarebytes Anti-malware 64 bits, copiez le contenu du zip sur le bureau, et ouvrez le dossier mbam-chameleon-****\Chameleon\Windows
Exécutez l'un des fichiers (n'importe lequel sauf chameleon.chm et mbam-killer.exe) pour démarrer Malwarebytes Chameleon
Sous vista et supérieur, clic droit/exécuter en tant qu'admin
Appuyez sur une touche quand demandé (press any key...)
Le programme va  essayer de lancer Malwarebytes Anti-Malware et le mettre à jour
Si le bureau disparait, c'est normal, il reviendra après le scan.
Mbam-Killer va ensuite rechercher et arrêter les processus infectieux connus
Puis Chameleon va demander à Malwarebytes Anti-Malware de lancer un scan "Menaces"
Si le scan ne se fait pas automatiquement, vous pouvez lancer manuellement une "analyse des menaces"
A la fin du scan, si des infections sont trouvées, cliquer sur Appliquer les actions en bas à droite
S'il est demandé de redémarrer après le scan, cliquer sur No
Cliquer sur "Exporter le journal" après le nettoyage.
Choisir le format TXT et enregistrer le rapport sur le bureau (ou choisir "Copier dans le presse-papier" et coller le rapport dans le bloc-note)
Retourner dans la fenêtre de Malwarebytes Chameleon et presser une touche pour fermer le programme.
Redémarrer le pc si c'était demandé.
Héberger le rapport et poster le lien après le redémarrage.


Remarque : sur les Windows 64 bits, il semble y avoir un dysfonctionnements, Chameleon installera la version 32 bits mais celle-ci voudra se mettre à jour. Or il se trouve que la mise à jour installera une version 64 bits. C'est donc une chaîne sans fin. Si vous êtes sur 64 bits et que malwarebytes demande une mise à jour, refusez. Vous pourrez toujours refaire un scan plus tard avec la nouvelle version lorsque vous n'aurez plus besoin de Chameleon. Le but étant de permettre à Malwarebytes Anti-malware de pouvoir s'exécuter de nouveau normalement.

Pourquoi l'utiliser : Il arrive que certaines infections rendent impossible l'installation ou l'utilisation de Malwarebytes Anti-malware. Chameleon contourne cette restriction et tente de forcer le démarrage de Malwarebytes Anti-Malware.

ZHPCleaner :

Télécharger et exécuter ZHPCleaner : https://nicolascoolman.eu/download/zhpcleaner/
(Sous Vista/7/8 : clic droit/exécuter en tant qu'admin)
Accepter les termes d'utilisations et cliquer ensuite sur Scanner
Attendre la fin du scan et l'apparition du rapport sur le bureau
Cliquer sur Nettoyer puis lancer le nettoyage sans toucher aux options (sauf indication contraire)
Héberger le rapport après nettoyage et poster le lien sur le forum

Si quelque chose que vous souhaitez conserver est coché par le programme, ne faites pas de nettoyage et prévenez nous.
Si besoin, l'outil dispose d'une fonction de restauration qui permet de récupérer les éléments supprimés.

Pourquoi l'utiliser : Ce programme permet la suppression de quelques adwares mais son rôle principal est de nettoyer les navigateurs web en supprimant les proxy et les redirections. Il répare les raccourcis des navigateurs qui peuvent être pollués, supprime les extensions malicieuses, et nettoie également le fichier hosts.

Farbar Recovery Scan Tool :

Télécharger Farbar Recovery Scan Tool sur le bureau
Choisir la version adaptée au système (32 ou 64 bits) : https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Double cliquer sur le fichier téléchargé
Pour Vista/7/8 : clic droit/exécuter en tant qu'admin
Cliquer sur OUI dans la fenêtre "Disclamer of Warranty" si elle s'affiche pour autoriser l'utilisation du logiciel
Une fois le programme lancé, cocher toutes les cases sauf Shortcut.txt et cliquer sur Analyser
Patienter le temps de la création des rapports qui s'ouvriront automatiquement (FRST.txt et Addition.txt)
Héberger les rapports et donner les liens sur le forum

Note : Les rapports sont automatiquement placés dans le même dossier que le programme d’exécution (le bureau) ou dans le dossier c:\FRST

Pourquoi l'utiliser : Ce programme effectue un diagnostique du système en listant sur ses rapports les éléments les plus susceptibles d'être touchés par une infection. Il liste entre autres les derniers fichiers modifiés/créés, les processus en cours, les programmes installés, les tâches planifiées et beaucoup d'autres données permettant de détecter la présence d'une infection. Les rapports étant extrêmement longs, il est nécessaire d'avoir des connaissances en désinfection pour les analyser efficacement.

L'utilisation d'un script rédigé par une personne compétente permet de supprimer les éléments nocifs du système. Un mauvais script pourrait gravement endommager Windows. Si vous voulez nettoyer votre système, créez un sujet sur le forum.

ZHPDiag :

Télécharger ZHPDiag sur le bureau : https://nicolascoolman.eu/download/zhpdiag
Lancer ZHPDiag.exe (sous Vista ou supérieur, clic droit/exécuter en tant qu'admin)
Cliquer sur le bouton Scanner
Patientez jusqu'à l'ouverture du rapport
A la fin de l'analyse, un rapport est créé directement sur le bureau, il se nomme ZHPDiag.txt.
Sinon, cliquer sur le bouton Rapport pour l'ouvrir et l'enregistrer sur le bureau
Héberger le rapport et poster le lien sur le forum.

Pourquoi l'utiliser : Ce programme effectue un diagnostique du système en listant sur ses rapports les éléments les plus susceptibles d'être touchés par une infection. Il liste entre autres les derniers fichiers modifiés/créés, les processus en cours, les programmes installés, les tâches planifiées et beaucoup d'autres données permettant de détecter la présence d'une infection. Les rapports étant extrêmement longs, il est nécessaire d'avoir des connaissances en désinfection pour les analyser efficacement.

ZHPFix :

/!\ L'utilisation de ZHPFix nécessite un script qui doit être fourni par une personne compétente.

Désactiver l'antivirus le temps de l'utilisation de ZHPFix
Fermer tous les programmes en cours d'utilisation
Télécharger ZHPFix sur le bureau : https://nicolascoolman.eu/download/zhpfix/
Double-cliquer sur le fichier téléchargé pour le démarrer
Sous Vista ou supérieur, clic droit/exécuter en tant qu'admin.
Cliquer sur Importer pour coller le contenu du script fourni

/!\ S'assurer que les lignes collées dans ZHPFix sont identiques au script fourni
Cliquer sur GO en bas à gauche pour lancer le nettoyage.
Confirmer la suppression, et le vidage de la corbeille.
/!\ Si des fichiers importants se trouvent dans la corbeille, les enlever avant de confirmer le nettoyage, ou refuser le nettoyage de la corbeille.
Si Windows lance la désinstallation de certains programmes, faire la désinstallation jusqu'au bout.
Le bureau disparaitra peut-être et certains programmes seront fermés, c'est normal.
Note : un redémarrage sera peut-être nécessaire, si ZHPFix le demande, accepter.
Héberger le rapport ZHPFixReport.txt et poster le lien dans la prochaine réponse.
S'il ne s'ouvre pas automatiquement, il est disponible sur le bureau.

Pourquoi l'utiliser : ZHPFix permet de supprimer les éléments visibles sur les rapports de ZHPDiag, L'utilisation d'un script rédigé par une personne compétente permet de supprimer les éléments nocifs du système. Un mauvais script pourrait gravement endommager Windows. Si vous voulez nettoyer votre système, créez un sujet sur le forum.

Findykill :

Télécharger FindyKill sur le bureau : https://www.sosvirus.net/telecharger/findykill/
Executer FyK.exe (Sous Vista/7/8 : clic droit/exécuter en tant qu'admin)
Cliquer sur Recherche et laisser l'outils travailler jusqu'à l'affichage du rapport.
S'il ne s'affiche pas, le rapport est sauvegardé sous C:\FyK_Scan.txt
L''héberger et le poster sur le forum.

Pourquoi l'utiliser : FindyKill est un programme développé pour supprimer l'infection Bagle. L'infection semble avoir disparu depuis quelques temps déjà, donc l'outil n'est plus mis à jour, mais il n'est pas impossible que Bagle fasse son retour. Si vous pensez être infecté par Bagle (antivirus désactivé, application win32 non valide...), postez un sujet sur le forum.

LogonFix :

Télécharger LogonFix sur le bureau 
https://toolslib.net/downloads/viewdownload/22-logonfix/
Double cliquer sur LogonFix.exe (Sous vista/7/8 : Clic droit/Executer en tant qu'admin)
Cliquer sur Restaurer et patienter pendant la réparation
Accepter le redémarrage pour que les réparations prennent effet.
Laisser le pc redémarrer normalement pour voir si c'est réparé.
Si ca ne fonctionne pas, revenir en mode sans echec avec prise en charge réseau.
Héberger le rapport ( c:\LogonFix.txt) et poster le lien sur le forum

Pourquoi l'utiliser : LogonFix répare le démarrage des sessions. Il est utile pour réparer par exemple l'écran noir à l'ouverture de la session, ou lorsque le pc reste bloqué sur la page de bienvenue. Il répare les clés de registre d'ouverture de session qui peuvent avoir été modifiées par un malware comme le "blocage gendarmerie"

OTM :

Télécharger OTM sur ton bureau :
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
ou : http://telechargement.zebulon.fr/telecharger-otmoveit.html
Double-cliquer sur OTM.exe pour le lancer.
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Ouvrir le lien donné et coller tout son contenu dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.
Cliquer sur "MoveIt!".


Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel demandera de redémarrer l'ordinateur.
Si c'est le cas, accepter en cliquant sur "YES"
Le rapport est situé dans C:\_OTM\MovedFiles (Le nom du rapport correspond au moment de sa création : date_heure.log).
Héberger le rapport et poster le lien.

Pourquoi l'utiliser : OTM permet de supprimer n'importe quelle clé de registre/fichier. Il est essentiellement utilisé pour compléter une désinfection lorsque les autres outils n'arrivent pas à supprimer certains éléments

WinUpdateFix:

Télécharger WinUpdateFix sur le bureau
https://toolslib.net/downloads/viewdownload/21-winupdatefix/
Cliquer droit sur le fichier téléchargé/exécuter en tant qu'administrateur
Une fois le programme ouvert, vérifier que les services cités dans le programme sont tous Démarrés et Automatiques
Si ca n'est pas le cas, cliquer sur les boutons  Démarrer et Automatique sous chaque service
Cliquer ensuite sur TOUS puis EXECUTER

Pourquoi l'utiliser : WinUpdateFix, comme son nom l'indique, est destiné à réparer Windows update lorsque celui-ci ne fonctionne pas correctement
Si WinUpdateFix ne suffit pas, suivre ce tuto : https://morbak-home.forumgratuit.org/t1073-astuces-et-tutos-en-vrac#15986

Rkill:

Télécharger Rkill sur le bureau depuis un des trois liens sur cette page : http://www.bleepingcomputer.com/download/rkill/
Les liens iExplore.exe et RKill.com sont simplement renommés pour ne pas être stoppés par les infections.
Exécuter le programme (Sous vista/7/8 : clic droit/Exécuter en tant qu'admin)
Une fenêtre noire va s'ouvrir et le programme va démarrer le scan automatiquement.
Sous Windows 64 bits, le programme placera temporairement un fichier Rkill64.exe sur le bureau, c'est normal
Une fois l'analyse finie, un message s'affichera, cliquer sur Ok pour que le rapport s'ouvre. 
S'il ne s'ouvre pas, il est disponible sur le bureau sous le nom Rkill.txt
Héberger le rapport et donner le lien sur le forum.

Pourquoi l'utiliser : Rkill est un programme permettant de stopper les processus/services malicieux qui empêchent le démarrage des antivirus ou des programmes de désinfection.

RstAssociaton :

Télécharger RstAssociation.scr sur le bureau
https://toolslib.net/downloads/viewdownload/25-rstassociations-version-scr/
Double cliquer sur le fichier pour lancer le programme
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Choisir l'extension de fichier à restaurer
Cliquer sur Restaurer
Le rapport apparait après restauration
L'héberger et poster le lien sur le forum.

Pourquoi l'utiliser : RSTAssociation rétablit les associations de fichiers de manière à permettre l'ouverture des fichiers par les programmes par défaut.Il peut être utilisé dans certains cas d'infection, si un malware modifie les paramètres d'ouverture de certains types de fichiers (par exemple si un fichier .exe s'ouvre avec le bloc note)

RstHosts :

Télécharger RstHosts sur le bureau :
https://toolslib.net/downloads/viewdownload/15-rsthosts/
Executer RstHosts.exe
Sur Vista/7/8 : clic droit/executer en tant qu'administrateur
Cliquer sur le bouton Restaurer pour nettoyer le fichier Hosts, puis sur créer un rapport 
Héberger le rapport et coller le lien dans la prochaine réponse

Pourquoi l'utiliser : RstHosts réinitialise le fichier Hosts et permet d'effectuer un rapport pour vérifier le contenu du fichier Hosts

SFCFix :

Télécharger SFCFix sur le bureau
http://www.sysnative.com/niemiro/apps/SFCFix.exe
Fermer les programmes en cours et démarrer SFCFix.exe
Sous vista/7/8 : clic droit/executer en tant qu'admin
Appuyer sur une touche quand c'est demandé (press any key...)
Le programme va analyser les composant de SFC et Windows update et les réparer si possible.
Une fois fini il affichera un rapport indiquant le nombre de fichier corrompus qu'il a trouvé.
Héberger le rapport SFCFix.txt et poster le lien

Pourquoi l'utiliser : SFCFix est un outil conçu pour réparer l'utilitaire de vérification système SFC. Il corrige les problèmes qui peuvent empêcher le fonctionnement de la commande sfc/scannow

UsbFix :

Télécharger UsbFix sur le Bureau : https://www.usb-antivirus.com/fr/telecharger/usbfix/
ou : https://www.fosshub.com/UsbFix.html
Désactiver l'antivirus temporairement (il n'y a aucun risque)
Brancher toutes les sources de données externes au PC (clef USB, disque dur externe, etc...) sans les ouvrir
Double-cliquer sur UsbFix.exe et accepter les conditions d'utilisation
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Cliquer sur Recherche
Laisser travailler l'outil jusqu'à la fin complète du scan
À la fin du scan, un rapport va s'afficher, poster le contenu sur le forum
Le rapport est aussi sauvegardé dans le dossier C:\UsbFix\Log
L'héberger et poster le lien.

Pourquoi l'utiliser : USBFix est essentiellement utilisé pour analyser, désinfecter ou vacciner contre les infections USB. Il permet entre autre de retrouver vos fichiers quand une infection les remplace par des raccourcis. Son vaccin empêche la propagation des infections sur les supports vaccinés.

RogueKiller :

Télécharger RogueKiller sur le bureau : http://www.adlice.com/fr/download/roguekiller/#download
Prendre la version  portable 32 ou 64 bits selon votre version de Windows
Fermer tous les programmes en cours et lancer RogueKiller.exe
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Si le programme ne se lance pas, le renommer en winlogon.exe et réessayer
Cliquer sur l'onglet Scan puis sur Démarrer le scan
Lorsque le scan est fini, cliquer sur Ouvrir rapport et sur Exporter TXT pour l'enregistrer.
L'héberger et poster le lien.

/!\ Ne rien supprimer sans l'avis d'une personne expérimentée.
Si RogueKiller est fermé avant la Suppression, un nouveau scan sera nécessaire pour débloquer la suppression.

Pourquoi l'utiliser : RogueKiller avait principalement pour but de supprimer les faux logiciels (rogues) tels que Security Shield, mais son développement le rend capable de détecter certains rootkit comme ZeroAccess, supprimer les proxy, tâches planifiées etc...

Gmer :

Télécharger Gmer depuis la page http://www.gmer.net/#files en cliquant sur Download EXE. Ceci permet de télécharger le programme renommé de facon aléatoire pour tromper les rootkits qui peuvent reconnaitre le programme.

ATTENTION : Avant de lancer Gmer, désactiver toutes les protections du pc (antivirus, antispywares, pare-feu).
Démarrer Gmer
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Un pré-scan se fera au lancement.

En effectuant un clic droit sur la fenêtre, il est possible de choisir le type de scan. Pour un scan rapide, choisir l'option "Only non MS files". Cela évite de lister les fichiers légitimes de microsoft mais détecte la quasi totalité des infections.

Le scan se fait à partir de l’onglet Rootkit. Cocher "Files" et "Services" si ca n'est pas coché dans la colonne de droite, puis cliquer sur le bouton Scan en bas.

Les informations sur le scan s’affichent alors, les éléments détectés comme rootkit apparaissent en rouge dans chaque section.
Sur ces lignes rouges:
- Services: Clique droit puis delete service
- Process: Clique droit puis kill process
- Adl, file: Clique droit puis delete files

Tuto : http://www.malekal.com/tutorial_GMER.php
 
Le bouton Copy permet de récupérer le rapport pour effectuer un copier/coller.
Le bouton Save permet l’enregistrement du rapport sur le disque au format texte.
Héberger le rapport et coller le lien sur le forum.

Pourquoi l'utiliser : Gmer est un programme permettant la détection et la suppression de nombreux rootkits. Il peut supprimer les services, les processus et les fichiers en rapport avec un rootkit.

Malwarebytes Anti-rootkit :

Télécharger Malwarebytes Anti Rootkit : https://fr.malwarebytes.com/antirootkit/

Exécuter le fichier et choisir de décompresser le dossier mbar sur le bureau 
Malwarebytes anti-rootkit se lancera automatiquement
 
Sous Vista et Windows 7, il est préférable de fermer et relancer le fichier mbar.exe par clic-droit -> Exécuter en tant qu'administrateur

Dans la fenêtre d'introduction, cliquer sur "Next"
Cliquer sur l'option de mise à jour "Update" 
Patienter pendant la mise à jour, puis cliquez sur "Next" après l'apparition du message "Success..."
Si un message "couldn't load DDA Driver" apparaît, cliquer sur Oui et laisser le pc redémarrer, MBAR se relancera automatiquement.
Cocher les 3 cases (drivers, Sectors, System).
Cliquer sur "Scan" et patienter le temps de l'analyse.
Une fois le scan terminé, deux possibilités :
- Si le programme n'a rien trouvé, cliquer sur" Exit". 
- Si des infections sont détectées, cliquer sur "Cleanup".
Après le nettoyage, le programme proposera un redémarrage, cliquer sur "Yes"

2 Rapports seront enregistrés sur le Bureau.
==> system-log.txt
==> mbar-log-la date-(*****).txt

Héberger les 2 rapports et poster les liens.

Pourquoi l'utiliser : MBAR est un anti-rootkit permettant le nettoyage du système. Il est capable de supprimer les rootkit, réparer les fichiers système patchés par l'infection et réparer les dégâts causés par les rootkit.

AVG Rem_virut :

Télécharger avg_rem_virut sur le Bureau.
http://www.avg.com/fr-fr/remove-win32-virut
Redémarrer en mode sans échec SANS prise en charge réseau.
Double-cliquer sur avg_rem_virut pour lancer le scan.
Sous Vista/7/8 : clic droit/Exécuter en tant qu'administrateur
Il va analyser automatiquement tous les disques disponibles et essayer de réparer les fichiers infectés.
S'il demande un redémarrage, accepter.

Pourquoi l'utiliser : Ce programme n'est à utiliser que pour supprimer l'infection Virut. Cette infection se propage rapidement sur le système et peut conduire au formatage si elle n'est pas supprimé rapidement. Virut infectant les fichiers exécutables, le lancement d'un seul fichier infecté peut suffir à réinfecter tout le pc. En cas d'infection Virut, postez rapidement un sujet sur le forum.

Dr.Web CureIt :

Attention l'analyse suivante peut durer plusieurs heures.
Éviter au maximum de se servir du pc en dehors de la désinfection.

- Déconnecter le PC infecté d'Internet et télécharger Dr.Web CureIt à partir d'un pc sain (de préférence, le graver sur CD) : https://free.drweb.fr/download+cureit+free/ (renommé de manière aléatoire)
- Placer le fichier téléchargé sur le bureau du pc à nettoyer 
- Connecter tous les supports amovibles (disque externe, clé usb, carte SD etc...) ayant été en contact avec le pc infecté sur ce dernier.
- Double cliquer le fichier téléchargé (sur Vista/7/8 : clic droit/exécuter en tant qu'admin)
- Accepter le lancement en protection renforcée si proposé, et la licence (ainsi que la participation aux statistiques)
- Cliquer sur l’icône de réglages (une clé anglaise) en haut à droite et cocher la case "appliquer les actions automatiquement"
- Vous pouvez laisser la case non cochée si vous préférez effectuer les actions manuellement après le scan.
- Cliquer ensuite sur Configuration et dans l'onglet Logs, choisir le réglage "Minimum"
- Cliquer sur Sélectionner des objets pour l'analyse et cocher toutes les cases
- En dessous, cliquer sur Sélectionner les fichiers/dossiers et cocher tous les disques/partitions
- Cliquer sur "Lancer l'analyse"
- Si vous avez choisis de faire les actions manuellement (déconseillé), Dr.Web proposera selon le type de fichier les actions Cure (désinfecter), move to quarantine (déplacer en quarantaine) ou delete (supprimer) 
- Après le nettoyage, cliquer sur "Ouvrir le rapport"
- Sauvegarder le rapport sur le bureau.
- En cas de problèmes, le rapport est automatiquement sauvegardé sous le nom cureit.log dans le dossier utilisateur (c:\users\.....\Doctor Web\cureit.log ou c:\doc&settings\....\Doctor Web\cureit.log).
- Fermer Dr.Web Cureit
- Redémarrer l'ordinateur (important car certains fichiers ne peuvent être déplacés/réparés qu'au redémarrage).
- Après redémarrage, héberger le rapport et poster le lien.

Pourquoi l'utiliser : Dr.Web CureIt est un anti-malware puissant, capable de détecter et d’éradiquer énormément d'infection. Il est surtout utile pour les infections coriaces comme Virut/Sality/Ramnit/Expiro/Mabezat. Ces infections font généralement de gros dégâts dans le système et Dr.Web est capable de désinfecter les fichiers porteurs de l'infection, il peut donc éviter le formatage du pc si l'infection est traitée à temps.

Dr.Web LiveDisk :

Graver l'iso (en tant qu'image) de Dr.Web LiveDisk, disponible ici : https://www.freedrweb.com/aid_admin/

Ensuite suivre les instructions suivantes : 
- Démarrer sur le CD et choisir English à l'aide des flèches du clavier et valider avec Entrée
- Un bureau s'affichera, et l'antivirus s'ouvrira automatiquement
- Cliquer sur Continue pour que le programme se lance
- Cliquer sur Select objects for scanning puis cocher toutes les cases
- Cliquer sur la icône de clé anglaise en haut a droite pour ouvrir les paramètres 
- Choisir l'option "Automatically apply actions to threats" (nettoyage automatique) et cliquer sur "Strart scanning"
- Dr.Web propose 3 options selon le type de menace détectée : Cure (désinfecter), move to quarantine (mise en quarantaine) ou delete (suppression) pour ceux qui préfèrent désinfecter manuellement chaque menace.
- A la fin de l'analyse, un popup s'ouvrira, cliquer sur Journal puis Export.
- Enregistrer le rapport sur le disque contenant Windows (par exemple dans le dossier Users)
- Le menu Journal contenant le rapport est également accessible dans le menu Tools
- Redémarrer le pc normalement pour vérifier l'état de Windows.
- Si des soucis sont encore visibles (bugs, crashs, alerte antivirus), poster un sujet sur le forum en expliquant le problème.

Pourquoi l'utiliser : Dr.Web LiveDisk est destiné à désinfecter un pc qui ne démarre plus ou dont l'infection est trop profonde. Il permet le nettoyage du disque et peut sauver un pc gravement contaminé.