3. Suppression des bestioles et autres barres d'outils

1. C'est quoi une bestiole? Les symptômes

Dans le langage technique des techniciens informatiques d'YBET, c'est tout ce qui s'implante dans votre ordinateur sans que vous l'avez demandé, à l'exception des virus qui sont des programmes nettement plus "faciles" à supprimer avec un bon anti-virus A JOUR lorsqu'ils tentent d'entrer: logiciels publicitaires, faux anti-virus ou virus spéciaux (attentive virus fait partie des virus et ... faux antivirus par exemple), barres d'outils qui changent le moteur de recherche par défaut (et la page d'accueil de votre navigateur internet le plus souvent).

Qu'est ce qu'une "bestiole" et qu'est ce qu'un virus? La première chose pour les distinguer: les bestioles se désinstallent par "Ajout / suppression de programme" sous XP ou "Programmes et fonctionnalités" pour les suivants, les autres bloquent toutes les commandes "habituelles de dépannage". Dans tous les cas, le but des "programmeurs" est de gagner de l'argent d'une manière ou d'une autre: soit en affichant des publicités non demandées, soit en modifiant les pages de recherche et afficher leurs propres publicités, soit en essayant de vous vendre d'une manière agressive un pseudo antivirus, un nettoyeur d'erreur de base de registre, .... qui ne seront pas très efficaces (ou même pire).

Dans cette partie dépannage, nous allons analyser les techniques standard pour supprimer des virus comme gendarmerie, Hadopi, ... mais aussi toute la série ASK, searchconduit, babyloon, ... et un tas d'autres.

2. Les outils habituels de Windows.

2.1. Le principal

La fonction ajout/suppression de programme / Programmes et fonctionnalités permet de désinstaller toute une série de barres d'outils (toolsbar), petit programmes divers. Seul problème, les quels? Déjà tout ce qui contient toolsbar. Voyons un exemple dans un ordinateur ci-dessous:

Déjà, il nous en manque quelques habituels comme ASK et Bandoo ... que j'avais déjà supprimé. Présentations de quelques uns (la liste va s'allonger).

• Ilivid: accélérateur de téléchargement de vidéos
• Torch: un espèce de navigateur qui ressemble à Chrome et ... optimalisé pour le chargement des vidéos.
• BrowserDefender (aussi en rouge) qui s'annonce comme un système de protection mais en fait envoie des publicités.
• Dealply: lui c'est la totale. Il se présente comme une extension de navigateur et bombarde votre écran de fenêtre de comparaisons de prix sur tout ce qui se vend ou s'achète.
• Visualbree (avec la toolbar, et de une): officiellement cette barre d'outils permet de créer des diaporama à partir de quasiment tout supports (ce qu'il fait) mais ... ajoute d'autres programmes et envoie aussi régulièrement des publicités sur votre écran.

Dans cet affichage, le reste est standard. D'autres exemples de bestioles non reprises dans cet ordinateur:

• Ask: barre d'outils, changement du moteur de recherche par défaut et de la page d'accueil sur tous les navigateurs, téléchargez bêtement avec les mises à jours de java.
• Babylon: se télécharge simplement en cliquant sur des publicités qu'il met un peu partout comme traducteur en ligne (ce qu'il fait mais Google et Bing le font aussi). Par contre, tout comme ASK, il modifie la page de démarrage, le moteur de recherche par défaut.
• SearchConduit, chargé avec d'autres programmes, de nouveau barre d'outils, page de démarrage et moteur de recherche
• Delta toolbar: idem que searchconduit mais avec une petite variante puisque l'adresse est spécifique au propriétaire du programme que vous avez téléchargé avec. Quelques exemples, le virus QV06 utilisent ce moteur mais avec une redirection d'adresse (dans le navigateur, c'est l'adresse de QV06 mais dans la base de registre, c'est une adresse de delta-search qui redirige vers l'adresse que vous voyez affichée: probablement par un simple fichier .htaccess, une vieille technique de webmaster de configuration des serveurs Apache sous Linux). Autre exemple, PDFCreator est un petit logiciel génial qui permet de créer directement des fichiers pdf en les "imprimant", sauf que depuis le deuxième trimestre 2013, lui aussi télécharge en plus Delta-Toolbar à son nom avec les mêmes conséquences. Pour n'oublier personne, plusieurs gros sites de téléchargement de logiciels gratuits francophones commencent à utiliser le même système en proposant leur propre barre d'outils lors d'un téléchargement.
• Softonic est un cas à part. Le site propose des téléchargements de logiciels gratuits, il est protégé par Mcafee Secure (un excellent anti-virus que j'utilise sur mon PC), ce qui garantit en théorie que les téléchargements sont sains mais ... la bestioles est en fait cachée dans le logiciels qui permet ces téléchargements.
• Toute la série des optimaliseur des performances de votre PC (et encore dans cette série, il y a des bestioles mais aussi des virus).

PS: si une firme reprise ci-dessus se semble attaquée injustement, elle peut m'envoyer un mail, je me ferais un plaisir de reprendre les tests avec huissier. Si l'outils est devenu correct, je mettrai mes plates excuses sur la page d'entrée. Dans l'autre cas, je me ferais également un plaisir de le renseigner sur la page d'entrée du site. J'en ai laissé d'autres volontairement de coté.

Déjà une première chose, si vous regardez les dates d'installation des programmes que je vient de citer sur l'image ci-dessus: Ilivid et Torch sont installez en même temps (probablement par l'utilisateur) et les deux autres sont chargés le même jour que Calibre, un logiciel qui permet de gérer les e-books sur votre ordinateur. L'utilisateur me demande de le laisser, je le laisse mais c'est plus que probable que c'est en le téléchargeant que les deux autres sont venus (et c'est peut-être aussi une petite source de problèmes).

Pour débuter, commencez par supprimer tout ce qui ressemble à une toolbar (barre d'outils) à part celle de Google et (éventuellement parce qu'elle n'a pas non plus que des points positifs) celle de Bing. Toutes les autres, y compris les "aides" et outils liés à Facebook sont des bestioles publicitaires. Petite remarque, quelques désinstallations vous signalent gentiment que vous devez être administrateurs. Dans ce cas, vous devez démarrez en mode sans échec ou utiliser la méthode suivante.

2.2. Restauration du système

Si tout change du jour au lendemain, le plus simple est de faire une restauration à une date antérieure du système. Cette fois, on va simplement passer par Windows puisque les programmes ci-dessous sont plutôt commerciaux. Dans les programmes repris dans outils systèmes (programmes accessoires de Windows), il y a Restauration du système.

Première chose, la date des points de restauration (si nécessaire, cochez la case pour en afficher d'autres). Sélectionnez le point à une date antérieure à celle des modifications de votre système. Ensuite, c'est plus ou moins automatique.

Pourtant, ce n'est généralement pas suffisant, cette méthode ne désinstalle que les programmes ajouté après la date de restauration (y compris les barres d'outils) et souvent pas les changements de pages. En plus, quelques virus suppriment tous les points de restauration.

2.3. Les outils logiciels

Plusieurs logiciels se téléchargent et analysent votre ordinateur pour détecter et supprimer toutes ces bestioles, celui que j'utilise est malwarebytes (adwcleaner est équivalent, spybot n'est quasiment plus mis à jour depuis 2010). Il est gratuit pour des applications non commerciales. Comptez une bonne heure minimum d'exécution en utilisant la fonction recherche complète. Seul petite chose à faire, c'est décocher durant l'installation "Essayer la version d'essai Pro". Je vous conseille de le désinstaller après avoir nettoyé votre système.

D'autres? Oui, il en existe d'autres, pas tous très efficaces, mais surtout pas ceux afficher sur les sites comme publicités et qui vont améliorer les performances de votre PC (mon oeil). La majorité sont des versions d'essais qui vous affichent des erreurs effectivement et vous promettent de les corriger si vous achetez le logiciel. Il y en a un paquet dans ce style: ce sont simplement des arnaques commerciales totalement inutiles.

Dans la série des plus ou moins utiles, il y a CCleaner qu'on retrouve sur un tas de PC sensé nettoyer votre base de registre. Pourtant, qu'est ce que fait réellement CCleaner? D'abord, il ne supprime en aucun cas des programmes (standard ou non). Encore une vieille croyance du pire ennemi des techniciens informatiques, le voisin. Il supprime uniquement des clés qui sont devenues inutiles lorsque vous désinstallez un programme. Petit exemple avec malwarebytes qu'on retrouve ci-dessous. Ce logiciel a été installé sur l'ordinateur et une fois le nettoyage effectué avec brio, je l'ai désinstallé. Mais dans la partie software de la base de registre, il reste comme clé Malware ... et des données affichées dans la partie droite. Voilà le travail qu'effectue ce logiciel de nettoyage, il vérifie que les clés correspondent à des programmes installés et supprime celles de ceux qui n'y sont plus. En utilisant ce logiciel, je gagnerais au moins un centième de seconde au démarrage en supprimant cette clé et son contenu, guère plus.

Et d'autres pour professionnels.

Si vous parcourez les gros forums informatiques, vous rencontrez parfois des posts un peu édifiants. Un problème de bestiole et un intervenant commence à faire télécharger des programmes spéciaux comme comme malwarebytes ou adwcleaner plus demande d'afficher le résultats, ensuite, il vous demande de télécharger des programmes encore plus spéciaux comme OTL (un analyseur de base de registre également, un peu plus puissant puisqu'il affiche les versions des logiciels installés mais aussi d'envoyer des lignes de commandes directement dans la base de registre). Commençons par le début, ces intervenants sont des professionnels qu'on appelle des nettoyeurs. Professionnels pas dans le sens qu'ils sont forcément payés pour le faire, juste qu'ils ont suivi une formation spécifique sur des sites spécialisés (comme malekal.com, security-X, ...).

2.5. Et le mode sans échec.

Petit problème récurent, toutes ces bestioles ne permettent pas l'accès à tous (souvent des rancomwares, lisez des logiciels qui bloquent l'utilisation de votre PC et demandent un payement pour que vous puissiez le réutiliser). Les deux plus célèbres (2013) sont Hadopi et le virus du gendarme mais il y en a d'autres.

Pour démarrer en mode sans échec, on utilise la touche F8 au tout début (avec Windows 7, c'est un peu plus compliqué et ce mode n'existe plus en 8 et 10 mais il y a une alternative) et sélectionnez "Mode sans échec". A partir de là, vous avez la possibilité d'utiliser Ajout/Suppression de programme ET la restauration. Pourtant, là aussi quelques programmes vous interdisent l'accès.

2.6. Et .... le mode DOS.

Toutes ces solutions ne fonctionnent pas? Avant de réinstaller Windows, une petite manoeuvre un peu plus technique (en septembre 2013, c'est la seule solution pour supprimer hadopi et le virus du Gendarme (pas dans toutes ses versions). De nouveau la touche F8 au démarrage mais cette fois, vous sélectionnez Invite de commande: mais si le langage DOS est encore utilisé. Une seule commande va être utilisée, c'est RSTRUI. Cette commande va simplement ... afficher les points de restauration comme ci-dessus. La difficulté va être de se déplacer dans le dossier c:\windows\system32\restore (Windows XP) et c:\windows\system32 (Windows 7) en utilisant les commandes de déplacement dans les dossiers sous Windows CD. Uns fois dans le bon dossier, tapez simplement RSTRUI, la suite de la procédure est la même que sous Windows. De nouveau, quelques virus suppriment la partie restauration.

2.7. La commande SFC/scannow

Permet de recharger des fichiers Windows valides mais pas en mode DOS (uniquement en mode sans echec ou en réparation via CD d'installation mais plus à partir de Vista). Elle devient de plus en plus inutile.

3. Quelques trucs supplémentaires suivant les indésirables.

Il nous reste quelques procédures complémentaires. La première est de supprimer manuellement dans les différents navigateurs les "faux moteurs de recherche" et de récupérer sa page d'entrée. C'est l'objet d'une page à part dans cette partie dépanner (reprises dans beaucoup d'autres sites en plus) mais d'autres solutions sont également possibles. Voyons voire deux petits outils techniques à manipuler avec précaution: msconfig et regedit.

3.1. Regedit

Dans la partie générale de la formation sur les systèmes d'exploitation, toutes les explications des groupes de clés de la base de registre ont déjà été vues. Nous allons simplement aller un peu plus loin puisque cette base de donnée reprend quasiment toutes les configurations de votre machines mais également celle de vos logiciels. tapez regedit dans exécuter (XP) ou Recherchez dans Vista, Windows 7 et 8 pour démarrer la commande

Commençons par Explorer. Sa configuration est reprise dans la clé HKEY_LOCAL_MACHINE -> Software ->Microsoft -> Internet Explorer. Dans la clé MAIN, nous avons le plaisir de voire les dégâts d'un virus qui s'appelle QV06 (j'en reparlerai). Deux clés sont modifiées: Default_Page_Url est utilisé pour le contenu d'un nouveau onglet et on retrouve http://www.delta-homes.com suivi d'un code. De même dans Start_Page (la page de démarrage). Voici deux clés qui sont modifiées par celui là mais aussi par toutes les bestioles qui modifient votre page d'entrée.

Pour Chrome, c'est identique mais plus vicieux. En fait, les propriétés sont différentes: ce virus modifie simplement la clé de démarrage en ajoutant l'adresse du site (ce n'est pas sa seule modification, c'est un peu plus malin).

Plus qu'à modifier la clé pour récupérer sa page de départ. Deux remarques quand même, c'est plus facile par les paramètres des navigateurs et dans le cas d'un virus, la modification ne supprime pas le virus (elle est rechangée au prochain démarrage). En dernier, les modifications dans la bases de registres peuvent être dangereuses (instabilité, voire impossible de redémarrer ...cf rstrui ci-dessus)

3.2. MSCONFIG

Cette commande permet de vérifier ce qui démarre avec Windows. Pourtant, elle ne vérifie pas si le fichier est corrompu ou non. En 2013, avec la modification de fonctionnement des virus et autres bestioles, elle devient de plus en plus inutile, encore plus avec Windows 8.

4. Techniciens et facturations

En atelier YBET, la suppression de ces bestioles est reprise le plus souvent par un forfait. Par exemple, la suppression du virus de la gendarmerie est facturée 25 €. Je viens de facturer QV06 en 3/4 d'heures de main d'oeuvre, soit 37,50 € alors qu'au total, j'ai bien pris 3 heures effectifs. La raison est simple, toutes les procédures reprises sur cette page permettent de supprimer quasiment toutes les bestioles de votre ordinateur (quand je ne suis pas sûr, réinstallation). Une fois la technique trouvée, c'est finalement routinier. En gros, pour éviter de facturer 3 heures à la première personne (ou plus) avec un problème, le magasin répartit le montant sur les clients suivants (1/4 d'heure de travail suffit en utilisant les techniques ci-dessus pour supprimer le virus du gendarme).

Pourtant, le but n'est pas de supprimer les bestioles commerciales mais de ne pas les installer. Pour cela, nous informons les utilisateurs: déjà apprendre à lire: une partie des bestioles sont des cases à cocher par défaut lors de l'installation d'un programme utile et ... l'utilisateur fait simplement <Suivant> en acceptant leur installation. Ou mieux, c'est du vécu: une dame faisait OK dès dès qu'elle avait un message en anglais (la bonne réponse est Cancel) et beaucoup d'autres refusent l'installation des mises à jour de java (rien à voire avec Javascript), un "utilitaire" presque obligatoire mais aussi la pire source de faille de sécurité qu'Internet ait jamais connu.

Rien n'est gratuit sur Internet (du moins pour une large partie des webmasters). Ce site affiche des publicités Google, c'est la source de revenus du site (voire mon énervement sur Free en janvier 2013), sans envoyer des fenêtres publicitaires supplémentaires, des trucs qui clignotent de partout. D'autres sites et développeurs de sites sont beaucoup moins corrects. Un petit utilitaire gratuit est (de plus en plus) accompagné d'autres programmes ou barre d'outils. En allant sur Internet, soyez responsables (c'est pas le vieux qui parle mais le technicien). Les pires sont les logiciels de téléchargements illégaux, les convertisseurs de formats vidéos et audio, ... les petits smyleys à ajouter sur les mails (plus facebook, messenger, skype, ...) qui sont non officiels.

En complément:

• Réinstaller Windows: en dernier recours, il est parfois nécessaire de réinstaller votre système d'exploitation
• Cours sur les systèmes d'exploitation: formation technique sur DOS et les différentes versions de Windows
• Les outils d'administration sous VISTA: quasiment identiques à Seven, 8 et 10, toutes les possibilités de configuration systèmes et autres
• Dépannage: erreurs liées au démarrage: toutes les erreurs matériels et logicielles lorsque vous démarrez votre ordinateur.