Guide de MalwareBytes Anti-Malware
Le guide de Malwarebytes Anti-Malware vous propose un tutoriel complet sur l’utilisation de cet outil. Il est à l’heure actuelle le logiciel Anti-Malware le plus performant pour éradiquer les Malwares sur votre ordinateur.
1. Pourquoi un guide de Malwarebytes Anti-Malware
2. Installation
3. Paramétrage et mise à jour
4. MBAM ne semble pas démarrer
5. Scanner ou examiner
6. Exemple d’une procédure de désinfection
7. Les journaux
8. La quarantaine
9. Fixdamage
10. Conclusion
1. Pourquoi un guide de Malwarebytes Anti-Malware
Malwarebytes Anti-Malware est considéré comme l’un des outils les plus performants pour combattre les malwares. Appelé également MBAM pour les connaisseurs, c’est l’outil que j’utilise en priorité en détection quand je soupçonne une infection sur un ordinateur. C’est avant tout un anti-malware, et là ou il est intéressant c’est qu’il peut être utilisé en complément de votre antivirus. Attention il ne remplacera jamais votre antivirus car ce n’est pas sa vocation. Sa grande force réside donc dans :
- une grande simplicité d’utilisation.
- ses mises à jour sont très fréquentes grâce notamment à la rapidité du travail de ses laboratoires d’analyse.
- possède une détection heuristique contre les nouveaux malwares inconnus.
- détecte les rootkits
Avec toutes ses qualités qui fond de lui un « must-have« , le guide de Malwarebytes Anti-Malware va vous décrire l’utilisation de la version free qui ne possède pas de bouclier de protection en temps réel dans sa version gratuite. Pour nos besoins je vous assure que cela est amplement suffisant. Par contre vous pouvez acheter ce logiciel les yeux fermés si vous le désirez !
Pour des raisons de simplicité j’utiliserai le terme de MBAM pour désigner Malwarebytes Anti-Malware dans le reste de cet article.
2. Installation
Ici nous allons utiliser et installer la version gratuite. Il est important de savoir que la version premium (payante) apporte en supplément les principaux avantages suivants :
- blocage en temps réel des Malwares (bouclier)
- blocage des sites malicieux
- mises à jour prioritaires
- type d’examen supplémentaire (Hyper)
Téléchargez la version gratuite à l’adresse suivante : https://fr.malwarebytes.org/
Vous obtenez un fichier exécutable de la forme « mbam-setup-xxxxx.exe » ou « xxxxx » représente le numéro de version. Pour les utilisateurs de Windows Vista, Windows 7 et 8, faites un clique droit sur le fichier précédemment téléchargé, et dans le menu contextuel qui s’ouvre, cliquez sur l’item « Exécuter en tant qu’administrateur« . Ensuite il suffit de suivre les différentes étapes de l’installation que je détaille ci-dessous.
Si le contrôle de compte d’utilisateur est actif, vous devez autoriser l’exécution du logiciel, pour cela cliquez sur « Oui« .
Choisissez la langue si besoin et validez par « Ok »
Dans la fenêtre de bienvenue, cliquez sur le bouton « Suivant« .
Acceptez la licence en cochant « Je comprends et j’accepte…. » et cliquez sur le bouton « Ok« .
Lisez les informations si vous en avez le courage et cliquez sur le bouton « Suivant« .
Changez le répertoire d’installation si nécessaire et cliquez sur le bouton « Suivant« .
Modifiez le nom du dossier du menu « Démarrer » si besoin et cliquez sur le bouton « Suivant« .
Si vous ne désirez pas de raccourci sur votre bureau, décochez « Créer une icône sur le bureau« . Cliquez de nouveau sur le bouton « Suivant« .
Pour terminer (Ouf !), cliquez sur le bouton « Installer« . Patientez pendant l’installation du logiciel.
Décochez « Activer l’essai gratuit de…. » et cochez « Exécuter Malwarebytes Anti-Malware« . Cliquez sur le bouton « Terminer« . Je rappelle une nouvelle fois que nous installons la version gratuite. Si vous désirez par la suite activer l’essai gratuit vous pourrez le faire dans l’interface du logiciel.
Le logiciel va se lancer pour la première fois et va mettre sa base de donnée de signatures à jour.
Laissez le logiciel se mettre à jour…. Vous pouvez remarquer que la licence est bien gratuite et donc que la protection en temps réel n’est pas actif.
3. Paramétrage et mise à jour
Mise à jour
Je rappelle que mettre à jour le logiciel signifie que celui-ci va soit télécharger les différentes bases de données contenant les toutes dernières signatures des Malwares ou soit se mettre à jour lui-même. Lancez le logiciel. Sélectionnez « Tableau de bord » et cliquez sur « Mettre à jour maintenant« . Il faut noter que si vous lancez une recherche de Malwares (Examiner) sans mettre à jour la base de donnée, Malwarebytes Anti-Malware vous proposera de le faire.
Paramétrage
Ici nous allons paramétrer une fois pour tout le logiciel et nous n’aurons plus besoin d’y revenir par la suite. Sélectionnez « Paramètres » et cliquez à gauche sur « Détection et protection« . Si nécessaire cochez les 3 cases « Utiliser le moteur heuristique avancé« , « Recherche de Rootkits » et « Examen dans les archives« . Sélectionnez « Traiter les détections comme les malveillants » pour les détections PUP et PUM. Voilà le logiciel est prêt à être utilisé !
Concernant les PUP (Potentially Unwanted Modification) et les PUM (Potentially Unwanted Modification) je vous renvoie vers mon article « Pourquoi éviter certains sites Web ? » pour de plus amples informations.
Après vos réglages vous pouvez fermer l’application, MBAM est maintenant opérationnel…
4. MBAM ne semble pas démarrer
Il se peut qu’un Malware empêche l’exécution de MBAM et le logiciel refusera complètement de s’exécuter. Pour contrer le Malware vous pouvez renommer le fichier exécutable par l’un des noms suivants :
- explorer.exe
- iexplorer.exe
- userinit.exe
- winlogon.exe
Attention quand je dis de renommer le fichier exécutable ce n’est pas celui qui se trouve sur votre bureau car celui-ci n’est qu’un raccourci vers le véritable fichier exécutable (mbam.exe). Renommer le raccourci ne servirai un rien !
Ouvrez l’Explorateur de Windows et déplacez dans le répertoire de MBAM. Suivant la version de Windows le répertoire peut être différent, voici quelques exemples :
- « c:\Program Files\Malwarebytes Anti-Malware\ »
- « c:\Program Files(x86)\Malwarebytes Anti-Malware\ »
- « c:\Programme\Malwarebytes Anti-Malware\ »
Trouvez le fichier exécutable « mbam.exe« , faites un clique droit sur le fichier et choisissez dans le menu l’item « Renommer« .
Tapez le nouveau nom et validez par la touche « Entrée« .
Voilà il ne vous reste plus qu’à double cliquer sur le fichier renommé (ici « winlogon.exe« ), maintenant MBAM devrait se lancer. A la fin de la désinfection, n’oubliez pas de le renommer avec son nom d’origine (mbam.exe).
Remarque :
La société Malwarebytes a développé un outil nommé Malwarebytes Chameleon qui permet d’installer MBAM sur un ordinateur infecté. Dans le paragraphe précédent nous avons discuté des possibles blocage de l’exécution de MBAM, mais l’installation de logiciel peut poser exactement les mêmes soucis. L’outil Malwarebytes Chameleon règle l’installation et l’exécution de MBAM. Je ne développerai pas son utilisation mais probablement dans un futur tutoriel…
5. Scanner ou examiner
Le but du logiciel est d’examiner si votre ordinateur est sain. pour cela le logiciel propose 3 types d’examen :
- Examen « Menaces » (choix par défaut)
- Examen « Personnalisé«
- Examen « Hyper » (non disponible dans la version gratuite)
pour sélectionner un type d’examen, lancez le logiciel et sélectionnez « Examen« . Ensuite il suffit de cliquer sur le choix désiré !
Voyons maintenant les différents types examens.
Examen « Menaces »
C’est le choix par défaut. C’est aussi le choix que je vous recommande car c’est le plus complet. Pour lancer un examen « Menaces« , sélectionnez « Examen menaces » et cliquez sur le bouton « Lancer l’examen« .
Il est possible de lancer un examen « Menaces » directement dans le « Tableau de bord » en cliquant sur « Examiner maintenant« .
Examen « Personnalisé »
Cliquez sur le cadre « Examen Personnalisé » et ensuite sur « Configurer l’examen » pour pouvoir sélectionner ce que l’on va examiner.
Ce type d’examen permet de scanner un ou des répertoires, ou encore un ou plusieurs fichiers. Cela peut être pratique si vous devez tester un fichier que l’on vous a transmis par mail ou encore le contenu d’une clef usb par exemple. Pour sélectionner un objet (fichier, répertoire ou lecteur) il suffit de cocher la case situé devant l’objet.
Examen « Hyper »
L’examen « Hyper » n’est pas disponible dans notre version gratuite. Ce type d’examen permet de faire un examen rapide, principalement sur les menaces actives en cours de fonctionnement sur le système.
6. Exemple d’une procédure de désinfection
Pour comprendre l’utilisation du logiciel, quoi de plus réaliste que d’exécuter MBAM sur un ordinateur infecté par quelques Malwares ! Ce qui suit, est donc une utilisation réelle du logiciel sur un système Microsoft Vista infecté.
Démarrez MBAM en faisant un clique droit sur l’icône « Malwarebytes Anti-Malware » et dans le menu cliquez sur l’item « Exécuter en tant qu’administrateur« .
Ici MBAM a détecté des malveillants. Il est nécessaire de les supprimer car ils peuvent nuire à la sécurité de votre ordinateur.
Ici MBAM a détecté des indésirables. Cela est moins grave que des malveillants, mais ils peuvent vous gêner lors de vos navigations sur le net. Je vous renvoie à mon article « Pourquoi éviter certains sites Web ? » qui vous expliquera ce que sont des indésirables ou des objets potentiellement indésirables.
Cliquez dans la notification sur « Cliquez ici pour afficher les détails » pour faire passer en avant plan la fenêtre principale de MBAM. Vous pouvez aussi fermer la notifications.
- MBAM indique le nombre de menaces qu’il a détecté et celles qui sont sélectionnées. Cela peut être différents suivant la configuration de MBAM.
- Les menaces sont listées dans un tableau ou ils sont identifiés par le nom du Malware (Menace), le type de Malware (Catégorie), le type d’élément détecté comme un fichier, un processus, une clé de registre, etc… (Type) et l’emplacement du Malware (Emplacement).
- Les cases à cocher en face de chaque menace détecté représentent ce qui est sélectionné.
- Cette action permet d’enregistrer dans un fichier texte, xml ou encore simplement dans le presse-papier l’ensemble de ce qu’il a détecté. Cela peut être intéressent dans le cas ou vous vous faites aider dans un forum de désinfection, l’helper du forum peut vous le demander avant de procéder à la désinfection.
- On arrive au bouton magique ! MBAM supprimera toutes les menaces sélectionnées si vous cliquez sur « Supprimer la sélection« .
7. Les journaux
Les journaux contiennent toutes les opérations datées que vous avez réalisé avec MBAM (examen et mise à jour). Pour accéder aux différents journaux (appelés également logs ou rapports), cliquez sur « Historique » puis à gauche sur « Journaux de l’application« . Il existe 2 types de journaux :
- Protection Log (rapports de mise à jour)
- Scan Log (rapports des examens)
L’exemple ci-dessous vous montre le journal d’un examen. Pour afficher le dernier journal d’examen il suffit de double-cliquer sur le « Scan Log » le plus récent.
Il est important de savoir exporter un journal pour pouvoir le transmettre soit dans un mail ou dans un message d’un forum si vous êtes aidés par un Helper. Pour cela il suffit de cliquer sur le bouton « Exporter » et de choisir « Copier dans le Presse-papiers » ou « Fichier texte (*.txt)« .
8. La quarantaine
Il faut comprendre que lorsque que MBAM supprime des malveillants, il ne le fait pas en réalité. En effet il déplace simplement tout ce qu’il désinfecte dans une zone (sur votre disque dur) qui se nomme la Quarantaine. Il est donc très important de savoir gérer cette zone de quarantaine. Lancez MBAM et cliquez sur « Historique« .
Si besoin cliquez à droite sur « Quarantaine« .
Tous les objets que MBAM a placé en quarantaine, se trouvent donc lister dans cette fenêtre. Après une désinfection il est nécessaire de surveiller son ordinateur afin de vérifier qu’il fonctionne correctement. Il faut comprendre que dans le monde de l’informatique et surtout celui des logiciels rien n’est parfait. MBAM peut se tromper et faire des erreurs lors de la détection. Si le logiciel a fait une suppression par erreur, il sera toujours possible de revenir en arrière grâce à cette quarantaine.
Supprimer tout ce qui ce trouve dans la quarantaine
Si quelques jours après une désinfection votre ordinateur fonctionne parfaitement, vous pouvez supprimer tous les objets de la quarantaine. Cliquez simplement sur « Supprimer tout« .
Supprimer une sélection dans la quarantaine
Vous pouvez également sélectionner individuellement les objets si vous le désirez. Pour cela sélectionnez les objets et cliquez sur le bouton « Supprimer »
Restaurer un objet
Par contre si MBAM a fait une erreur et que vous désirez restaurer un objet (je vous rassure, cela ne m’est jamais arrivé !). Sélectionnez l’objet ou les objets à restaurer et cliquez sur le bouton « Restaurer« .
Au final il est important de vider la quarantaine de temps en temps. Cela ne sert à rien de garder tous ces Malwares (certes inoffensifs) sur votre disque.
9. Fixdamage
Après que MBAM ait réalisé une désinfection particulièrement grave comme la destruction d’un Rootkit par exemple, le système d’exploitation (Windows) peut avoir été endommagé. Il est fréquent dans ce cas que des points critiques du système soient endommagés comme :
- Le parefeu
- Les mises à jour de Windows
- Le centre de sécurité
- Connexion Internet défectueuse
- Destruction de certains services Windows
ATTENTION je met en garde contre l’emploi de cet outil, ne l’exécutez pas si vous en avez pas besoin. C’est un outil système très puissant, je le répète de nouveau si votre ordinateur fonctionne normalement, n’utilisez pas Fixdamage. Le principe du logiciel est de restaurer par défaut les paramètres systèmes si un problème est détecté.
Je vous conseille également de ne pas utiliser ce logiciel si votre ordinateur n’est pas totalement désinfecté car cela ne servirait à rien !
Ce logiciel est fichier exécutable nommé « fixdamage.exe » et il se trouve dans le dossier « plugins » dans le répertoire principale de MBAM (généralement dans c:\Program Files (x86)\Malwarebytes Anti-Malware\Plugins\). Pour lancer il faut faire un clique droit sur le fichier et choisir l’item « Exécuter en tant qu’administrateur« .
L’invite de commande s’ouvre et le programme s’exécute. Tapez la lettre « Y » pour confirmer la réparation du système.
Patientez pendant que le programme travaille…
A la fin de l’opération l’outil affiche « Applying fix…Done!« . Vous pouvez appuyer sur une touche du clavier pour fermer l’outil.
Je vous recommande de redémarrer votre machine pour appliquer les modifications que Fixdamage a apporté à votre système.
Faites attention quand vous utilisez ce genre d’outil car on peut provoquer l’effet inverse ! Dans certains cas quand le système d’exploitation a bien été détérioré par plusieurs grosses infections, il se peut que l’outil ne puisse pas réparer complètement Windows. On se retrouve alors avec un système bancal et la seule solution sera de réinstaller le système d’exploitation. Je ne vais pas m’attarder sur toutes les différentes solutions possibles et existantes mais la réinstallation du système est souvent la solution la plus simple et la plus rapide pour un néophyte.
10. Conclusion
Je vous conseille d’user et d’abuser de ce logiciel. La société MalwareBytes étant très active dans la lutte contre les Malwares, ainsi le logiciel est toujours à jour contre les Malwares les plus récents. Certes MBAM ne fait pas tout et je le répète une nouvelle fois il ne remplacera jamais votre Antivirus. Par contre avec ce dernier il forme un couple essentiel pour tous ceux qui désirent une protection maximale sur leur ordinateur personnel.
Pour terminer je vais vous présenter d’autres outils et logiciels que la société Malwarebytes peut vous proposer :
- Malwarebytes AntiMalware Mobile (un anti-malware pour smartphone Android)
- Malwarebytes Anti-Rootkit (un anti-rootkit pour l’instant en version Beta mais pleinement fonctionnel)
- Malwarebytes Anti-Exploit (un bouclier contre les vulnérabilités et failles de sécurité de certains logiciels)
- Malwarebytes Secure Backup (une solution de sauvegarde en ligne)
- Malwarebytes StartUpLite (élimine le démarrage de certaines applications au démarrage de l’OS)
- Malwarebytes FileAssassin (outil permettant de détruire/effacer des fichiers récalcitrants)
- Malwarebytes RegAssassin (outil permettant de détruire/effacer des clefs de registre récalcitrantes)
Merci beaucoup pour ce document très pédagogique. Je cherche en vain à contacter les vendeurs de malware premium, car j’ai acheté ce logiciel pour protéger mon PC mon compte a été débité, mais je n’ai pas reçu d’ID ni ne PW pour l’activer. Que puis je faire ? merci si vous pouvez me suggérer une solution, une adresse !
Merci pour vos commentaires. Pour votre problème essayez de contacter le service d’assistance à l’adresse suivante :
https://fr.malwarebytes.org/contact/