Une fois, ça va, deux fois… ça lasse. En dépit de la mise à jour de Microsoft Security Essentials, mon antivirus (graticiel) actif, voici deux fois de suite que je me retrouve infecté par Antivirus Soft. Et comme je n’ai pas trouvé vraiment de solution idoine via l’Internet, voici des suggestions pour se débarrasser de ce logiciel malveillant sous Windows 7.


Antivirus Soft est un logiciel malveillant d’origine supposée russe qui va vous empester l’existence. Il n’a de cesse de vous empêcher d’ouvrir des applications en vous affichant d’incessants messages prétendant que votre machine est infectée par des tonnes de virus. Le but de la manœuvre est de vous faire acheter ce prétendu détecteur et éradicateur de virus.

Il peut s’installer et vous infecter de diverses manières, généralement inopinément après la visite d’un site fiable ou non. Pour mon compte, c’était l’un des trois sites de la presse anglaise que je consulte régulièrement : Timesonline (The Times), The Independent, The Guardian.

 

À deux reprises, il a généré, à la suite d’un clic sur l’un de ces sites (oublié lequel), l’apparition de l’interface du Reader d’Adobe. Lequel affichait un message d’erreur. Immédiatement, Antivirus Soft s’est installé. J’ai pu cependant consulter des forums et trouver des moyens préconisés pour l’éradiquer. Malheureusement, les méthodes se référaient à d’anciennes versions de Windows et non pas à la base de registre de Windows 7. Notez que, si Antivirus Soft a mis à profit une faille d’Acrobat Reader, il conviendra ultérieurement de le mettre à jour (actuelle version 9.3.1 le 18 fév. 2010).

 

Ce qu’il faut savoir, c’est que le nom de l’exécutable à supprimer et celui du dossier le contenant sont divers et variés. Mieux (enfin…), plusieurs instances du même exécutable (.exe) peuvent s’installer dans votre répertoire d’utilisateur.

 

La plupart des méthodes préconisées indiquent de redémarrer Windows en mode sans échec avec prise en charge réseau (afin de pouvoir consulter la documentation afférente en ligne). Je suggère plutôt, pour gagner du temps, de redémarrer et de lancer immédiatement le gestionnaire des tâches.

Donc, redémarrer et dès que l’interface de Windows apparaît, faire un « trois doigts » (Ctrl+Alt+Del, ou Suppr selon les claviers). Dans le gestionnaire de tâches, repérer le programme exécutable suspect. Dans mon cas, ce n’était pas wqcmsguard.exe, ou sysguard.exe, ni kglusftav.exe comme indiqué dans divers forums, mais vnrlsftav.exe (deuxième instance) ou sftav.exe (première infection). Première mesure, arrêter l’exécution de ce programme.

 

Sous Windows 7, passer ensuite dans votre compte d’utilisateur [NOMDUTILISATEUR], généralement en C:, soit c:/Utilisateurs/Nomdutilisateur/AppData/local

Repérer un dossier de six lettres en minuscules.

Ex. obcqpy

Vous devriez y trouver un .exe (ex. nlfnstav.exe).

Supprimer tout…

Attention, vous pouvez avoir plusieurs instances du malware dans divers dossiers.

Si vous ne voyez pas ce dossier Local Settings ou Local, c’est sans doute que le système n’est pas paramétré pour l’afficher. Allez dans Outils > Options des dossiers > [onglet] Affichage puis activez l’option « Afficher les fichiers et dossiers cachés ».

 

Passez ensuite sur un navigateur, voyez les conseils pour nettoyer la base de registre. Vous pourrez lancer Regedit et supprimer les clefs relatives à ce logiciel malveillant.

Le mieux est de lancer une recherche dans HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER avec le nom du programme .exe incriminé. Donc rechercher, dans cet exemple : vnrlstav.exe. Supprimez ces clefs et références.

 

En première instance, j’avais trouvé une clef incriminée que signalaient les forums :

HKEY_CURRENT_USER > Sofware > Microsoft > Windows > CurrentVersion > Internet Settings ProxyServeur=http=127.0.0.1:5555 Ayant supprimé cette référence lors de la première tentative de suppression du virus, je ne l’ai pas retrouvée après réinfection. Je n’utilise pas de serveur de proxy pour me connecter à Internet via Firefox, et je ne sais pourquoi cette valeur se trouvait dans ma base de registre. Il se peut qu’un logiciel malveillant l’ait créée. Autant la supprimer. Vous pouvez aussi supprimer les clefs (Windows XP) :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes” = “.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyOverride” = “”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1″
 
Pour empêcher vos connexions internet d’avoir recours à un proxy, vous pouvez aussi fixer la valeur de la clef ProxyEnable à 0 (au lieu de 1) via les Internet Settings.   Logiquement, au redémarrage de votre machine, Antivirus Soft ou ses variantes (Antivirus Live, par exemple) ne pourra plus s’activer. Notez que si vous cédiez à la tentation d’acheter votre tranquillité auprès d’un site commercialisant Antivirus Soft, vous communiqueriez un numéro de carte de crédit qui risque fort d’être par la suite utilisé à des fins malhonnêtes.
 
Si ces mesures vous semblent compliquées, une autre méthode consiste à restaurer le système (Windows XP, Vista, 7) à son état antérieur en utilisant la « restauration système ». C’est ce que j’avais essayé la première fois, en vain (la restauration à la date la plus récente ne s’effectuant pas). Mais cela peut fonctionner.
 
Cette infection serait due à un « ver » qui aurait, selon BitDefender, été à la source de plus de 6 % des attaques virales mondiales en janvier dernier (troisième du classement pour la période). Il a pour particularité de se propager via des sites considérés « de confiance » et de bloquer la mise à jour du système via Vindows Update ou de divers sites d’antivirus fiables. Passée la suppression d’AntiVirus Soft, un diagnostic plus approfondi s’impose. Pour mon compte, au dernier redémarrage, Microsoft Security Essentiels avait détecté le Trojan Win32.Renos. Il aurait été éradiqué. Croisons les doigts…
 
Un avant-dernier mot : ces applications ont un surnom en anglais, ransomware. Parce que votre machine est prise en otage, vous devez payer une rançon à la suite d’un rackett. Les frères Rapetout, les bandits adversaires de Mickey et Picsou, se sont mis à l’informatique. Saviez-vous que l’Afub, l’association française des usagers des banques, décernait un Prix Rapetout ? Pour janvier 2010, le palmarès primait Le Crédit agricole, avec ensuite les Caisses d’Epargne et le groupe Banque Populaire. C’est la mutualisation de l’arnaque. Après tout, le ransomware est peut-être tout aussi légal que les pratiques des banques… 
 
Et le(s) dernier-s) mot(s)… Pour étrangler le « cri » du logiciel malvaillant, à défaut de le lui faire rentrer dans la gorge, il ne suffit pas de lui dire « non, tu ne passeras pas par moi… ». Tout clic sur l’interface d’un ransomware l’encourage, le propage. Ignorez donc ses avertissements et débranchez de suite le câble réseau de votre ordinateur (ou de votre console fournie par votre fournisseur d’accès Internet). Cela peut suffire à empêcher des fichiers essentiels au fonctionnement de l’intrus de s’installer. Débranchez !
 
Pour les établissements bancaires, et leurs succursales et agences (une branch est une agence bancaire), c’est plus difficile. Mais souvenez-vous…
 
La vie ne tient qu’à un fil…
Débranche, débranche,
Coupe la lumière et coupe le son,
Débranche, débranche, débranche tout.
Revenons à nous.
 
(Interprété par France Gall, et pour rester « maîtres du temps et des ordinateurs », il faudra bien un jour s’y résoudre).