Loading...

Procédure de dépannage pour repérer d'éventuels fichiers infectés si un virus n'est pas détecté
Articles techniques ID:   KB53094
Date de la dernière modification :  13/04/2017
Noté :


Environnement

Tous les produits antivirus de bureau et de serveur McAfee pour Microsoft Windows

Synthèse

Cet article décrit un certain nombre de procédures et d'emplacements pour vous aider à trouver des fichiers suspects lorsqu'une infection n'est pas détectée par vos solutions antivirus.

Les symptômes possibles incluent les éléments suivants :
  • Comportement d'ordinateur suspect comme une utilisation processeur élevée sur des processus non reconnus
  • Augmentation importante du trafic réseau ou de l'utilisation de la bande passante
  • Ajout de nouveaux services ou suppression de services existants
  • Accès impossible à des ressources réseau telles que des lecteurs partagés
  • Arrêt du fonctionnement de certaines applications ou accès impossible à certains fichiers
  • Ajout de clés de Registre inattendues
  • Modification de la page d'accueil d'Internet Explorer sans autorisation
IMPORTANT : en raison de la grande diversité des logiciels malveillants (malwares) et autres menaces, Intel Security n'est pas en mesure de fournir une liste de tous les symptômes d'infection possibles. Si vous pensez que votre système est infecté et que les symptômes spécifiques ne sont pas répertoriés, prenez malgré tout l'ensemble des précautions à votre disposition. Vérifiez que vos fichiers DAT sont à jour et exécutez une analyse à la demande ou à ligne de commande de votre système. Si l'infection n'est pas détectée, suivez les procédures décrites dans cet article pour recueillir des échantillons de fichiers suspects et les soumettre à McAfee Labs.
 
Cet article contient des références à des outils tiers. Pour obtenir des instructions sur leur utilisation, Intel Security vous recommande d'utiliser leurs fichiers d'aide spécifiques.

Avant de commencer à chercher des fichiers suspects :
  1. Mettez à jour vos fichiers DAT et assurez-vous que vous possédez le dernier moteur d'analyse.
  2. Assurez-vous que vous possédez le dernier patch ou HotFix du produit.
  3. Installez les derniers patchs de sécurité Microsoft.
  4. Vérifiez les paramètres d'analyse pour vos produits.
  5. Exécutez une analyse à la demande complète avec tous les paramètres d'analyse activés.
  6. Appliquez les derniers fichiers DAT bêta et lancez une analyse à la demande.
Si l'analyse à la demande ne parvient toujours pas à détecter les menaces, procédez comme suit :
  1. Recherchez des entrées suspectes dans les fichiers de configuration Windows.
  2. Recherchez des éléments ou des applications que vous ne reconnaissez pas dans le groupe de programmes de démarrage.
  3. Recherchez des entrées suspectes dans les emplacements de registre communs.
  4. Utilisez l'Explorateur Windows pour vous assurer que les emplacements de répertoires communs ne comportent pas de fichiers malveillants.
  5. Recherchez des entrées que vous ne reconnaissez pas dans le planificateur Windows.
  6. Utilisez des outils tiers et Intel Security supplémentaires pour rechercher une activité malveillante.

Solution

Vérifications de base à effectuer avant de contacter le support technique :
 
S'assurer d'utiliser les derniers fichiers DAT et de moteur
Téléchargez les derniers fichiers DAT et de moteur sur le site web des mises à jour de sécurité :
  1. Procurez-vous les dernières mises à jour de sécurité :
    Pour télécharger un fichier DAT, Engine, XDAT ou Stinger, accédez à https://www.mcafee.com/enterprise/en-us/downloads/security-updates.html .

    Vous devrez peut-être télécharger ces fichiers si vos mises à jour automatiques échouent ou si vous souhaitez utiliser un fichier Extra.DAT sur un système infecté.
  2. Cliquez sur l'onglet Fichiers DAT pour télécharger les derniers fichiers DAT. Le format de fichier indique la version des fichiers DAT, avec dat-####.zip, où #### correspond à la version des fichiers DAT.
  3. Cliquez sur l'onglet Moteurs pour télécharger le dernier moteur.
  4. Consultez la colonne Version pour identifier la version de moteur en vigueur.
S'assurer d'utiliser le dernier HotFix ou patch de produit disponible
  1. Déterminez le niveau de patch et d'HotFix le plus récent en consultant l'article sur les plates-formes prises en charge pour votre produit, disponible ici.
  2. Déterminez quel HotFix/patch est installé. Pour ce faire, il existe plusieurs méthodes, qui varient selon le produit et dont les plus courantes sont les suivantes :
    • Cliquez avec le bouton droit de la souris sur l’icône du produit dans la barre d'état système et sélectionnez A propos de.
    • Ouvrez la console du produit et sélectionnez Aide, puis A propos de.
    • Certains produits nécessitent l'exécution d'une commande de console pour déterminer si un patch est installé. Reportez-vous à la documentation produit appropriée.
      Pour obtenir la liste complète des documents de produits, accédez au portail ServicePortal à l'adresse : http://support.mcafee.com. Cliquez sur Knowledge Center, puis sélectionnez Documentation produit dans la liste Knowledge Base.

       
  3. Téléchargez et installez le dernier patch de produit. Une combinaison de mise à jour de moteur, de fichiers DAT et de patch de produit peut être requise pour supprimer un virus.
     
    Les produits logiciels McAfee, les mises à niveau, les versions de maintenance et la documentation sont disponibles sur le site des téléchargements de produits à l'adresse :http://www.mcafee.com/us/downloads/downloads.aspx.

    REMARQUE : vous devez posséder un Grant Number valide pour l'accès. L'article KB56057 fournit des informations complémentaires sur le site des téléchargements de produits, ainsi que sur d'autres emplacements dédiés à des produits spécifiques.
  4. Procurez-vous le dernier HotFix.
    ATTENTION : cet article contient des informations concernant l'ouverture ou la modification du Registre.
    • Les informations suivantes sont destinées aux administrateurs système. Les modifications apportées au Registre sont irréversibles et peuvent causer des défaillances du système si elles ne sont pas effectuées correctement.
    • Avant de poursuivre, le Support technique vous recommande fortement de sauvegarder votre Registre et de bien connaître la procédure de restauration. Pour de plus amples informations, consultez le site : http://support.microsoft.com/kb/256986.
    • N'exécutez pas de fichier .REG si vous n'êtes pas certain qu'il s'agit d'un fichier d'importation de Registre authentique.

    Pour contacter le Support technique, connectez-vous au portail ServicePortal et allez sur la page Création d'une demande de service à l'adresse https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR :
    • Si vous êtes un utilisateur enregistré, saisissez votre Nom d'utilisateur et votre Mot de passe, puis cliquez sur Se connecter.
    • Si vous n'êtes pas enregistré, cliquez sur S'enregistrer et remplissez les champs requis. Votre mot de passe et vos instructions de connexion vous seront adressés par e-mail.
Patchs de sécurité Microsoft
Installez les derniers patchs de sécurité Microsoft afin d'empêcher les exploits de vulnérabilités de sécurité:
  1. Pour vous procurer les mises à jour Windows, accédez à :http://update.microsoft.com/microsoftupdate/v6/muoptdefault.aspx?ln=en&returnurl=http://update.microsoft.com/microsoftupdate/v6/default.aspx.
  2. Assurez-vous que les derniers correctifs et patchs sont téléchargés et installés. Vous pouvez configurer Windows afin que cette vérification soit automatique.  
Configuration de produit individuel (managé)
Vérifiez que vous avez configuré les analyseurs à l'accès et à la demande avec les paramètres suivants :
  • Recherche de logiciels espions
  • Recherche de programmes potentiellement indésirables
Vérifiez que vous avez activé les options suivantes :
  • Analyse heuristique
  • Protection contre les attaques par Buffer Overflow
  • Global Threat Intelligence à la sensibilité la plus élevée (voir KB70130)

    Certaines de ces options sont disponibles dans VirusScan Enterprise uniquement. Consultez le Guide Produit de votre produit pour obtenir plus de détails et des instructions.
    Pour obtenir la liste complète des documents de produits, accédez au portail ServicePortal à l'adresse : http://support.mcafee.com. Cliquez sur Knowledge Center, puis sélectionnez Documentation produit dans la liste Knowledge Base.


Exécuter une analyse à la demande avec tous les paramètres d'analyse activés
Procédez à une analyse à la demande complète de tous les fichiers en définissant l'action principale sur Nettoyer. Pour plus de détails sur la configuration d'une analyse à la demande, consultez le guide de votre produit. Pour VirusScan Enterprise, cliquez sur Démarrer, Programmes, McAfee, Analyse à la demande, Démarrer.


Exécuter scan.exe avec les derniers fichiers DAT bêta
Si l'analyse à la demande et les fichiers DAT standard ne détectent pas l'infection, cette dernière peut être détectée avec les signatures supplémentaires contenues dans les fichiers DAT bêta.
 
  1. Téléchargez les fichiers DAT bêta à partir de l'adresse suivante : http://www.mcafee.com/apps/mcafee-labs/beta/dat-file-updates.aspx.
  2. Appliquez les fichiers DAT bêta :
    • Automatiquement (avec le dernier exécutable SuperDAT):
      1. Lancez avvwin_xdatbeta.exe sur l'ordinateur infecté. L'exécutable met à jour tous les produits qui utilisent des fichiers DAT.
      2. Une fois la mise à jour effectuée, exécutez une analyse à la demande sur l'ensemble des lecteurs ou bases de données dépendant du produit.
         
    • Manuellement (avec le dernier fichier DAT) :
      Pour mettre à jour manuellement les fichiers DAT pour votre produit, reportez-vous à l'article qui convient afin d'obtenir les instructions appropriées. 
       
      LinuxShield
      SaaS Endpoint Protection KB53768
      Security for SharePoint
      VirusScan Enterprise

Solution

Repérer des fichiers suspects
Les dossiers de démarrage et les emplacements de Registre sont les éléments les plus susceptibles de contenir des entrées suspectes. Examinez ces emplacements.

ATTENTION : cet article contient des informations concernant l'ouverture ou la modification du Registre.
  • Les informations suivantes sont destinées aux administrateurs système. Les modifications apportées au Registre sont irréversibles et peuvent causer des défaillances du système si elles ne sont pas effectuées correctement.
  • Avant de poursuivre, le Support technique vous recommande fortement de sauvegarder votre Registre et de bien connaître la procédure de restauration. Pour de plus amples informations, consultez le site : http://support.microsoft.com/kb/256986.
  • N'exécutez pas de fichier .REG si vous n'êtes pas certain qu'il s'agit d'un fichier d'importation de Registre authentique.

 
Fichiers de configuration système :
  • Win.ini
    Fichier utilisé par les versions antérieures de Windows pendant le démarrage du système. A partir de Windows 7, les informations stockées dans ce fichier sont placées dans le Registre.
  • System.ini
    Fichier d'initialisation de Windows utilisé principalement avec les versions antérieures de Windows. Cependant, ce fichier INI est encore utilisé pour assurer la rétrocompatibilité dans les versions ultérieures de Windows.
  • Autoexec.bat
    Ce fichier est utilisé lors du démarrage du système et conservé dans les versions ultérieures de Windows pour assurer la rétrocompatibilité. Il est stocké à la racine du lecteur système. Ce fichier de commandes exécute des commandes au démarrage.
  • Config.sys
    Fichier texte ASCII Windows hérité contenant des directives de configuration qui peuvent être consultées à l'aide de msconfig.
Pour afficher la configuration des systèmes à l'aide de msconfig, procédez comme suit :
  1. Cliquez sur Démarrer, Exécuter, saisissez msconfig, puis appuyez sur ENTRÉE.
  2. Examinez l'onglet Eléments de démarrage.
  3. Examinez les entrées win.ini et system.ini.
 
Groupe de démarrage
Lors de l'inspection des dossiers, choisissez l'affichage Détails et utilisez la colonne Date de création pour organiser les fichiers :
  • \documents and settings\all users\Menu Démarrer\Programmes\Démarrage
  • \winnt\profiles\all users\Menu Démarrer\Programmes\Démarrage
     
Emplacements de Registre
Observez les emplacements communs du Registre qui se lancent au démarrage et sont souvent exploités à mauvais escient :
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppINit_DLL

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\[SID]\Software\Microsoft\Windows\CurrentVersion\Run
 
Spécifique aux logiciels malveillants (malwares) :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools
HKEY_LOCAL_MACHINE\software\Microsoft\WindowsNT\CurrentVersion\Winlogon
 

Emplacements de répertoire souvent utilisés par les virus :
 
C:\
%windir%\
%windir%\system32\
%windir%\system32\drivers
%windir%\system32\dllcache
%TEMP%
%ALLUSERSPROFILE%\Menu Démarrer\Programmes\Démarrage
%userprofile%\local settings\temp
%userprofile%\application data
%userprofile%\local settings\application data
C:\Program Files\
C:\temp
C:\Recycler
C:\Documents and Settings
 

Analyser le Registre pour y détecter d'éventuels logiciels malveillants (malwares) ou activités suspectes
Pour plus de détails sur les utilitaires mentionnés dans les étapes suivantes, consultez l'article KB72766.
  1. Utilisez le détecteur de rootkit IceSword pour analyser le Registre.
  2. Cliquez sur Démarrer, Programmes, McAfee, Analyse à la demande et Démarrer pour exécuter une analyse à la demande.
  3. Si l'analyse à la demande ne parvient pas à détecter une menace, servez-vous des utilitaires FPort et Vision pour surveiller l'activité.
    REMARQUE : les utilitaires tiers suivants peuvent également s'avérer utiles pour consigner les activités de fichiers malveillants :
    • Process Explorer
    • TCPView
    • ProcMon
    • Autoruns
    • RootkitRevealer 

Solution

Avant de contacter le support technique
  1. Rassemblez des échantillons suspects.
    Regroupez dans un même emplacement les méthodes ou fichiers décrits ci-avant qui vous font penser qu'un élément est suspect. Assurez-vous que tous les fichiers d'échantillon sont inclus dans un fichier .zip unique protégé par mot de passe. Choisissez le mot de passe infected
      
  2. Envoyez les échantillons à McAfee Labs.
    Chargez l'échantillon sur ServicePortal ou Platinum Portal. Pour obtenir des instructions, consultez l'article KB68030 de la base de connaissances.
     
  3. Recueillez et envoyez les résultats de l'outil Minimum Escalation Requirements (MER) pour vos produits :
    1. Exécutez l'outil MER pour vos produits. Pour plus de détails sur la liste des outils MER pour les produits de sécurité , consultez l'article KB59385 de la base de connaissances.
    2. Lorsque vous contactez le support technique, fournissez le fichier Results.tgz.

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Noter ce document

Beta Translate with

Select a desired language below to translate this page.