Le très malveillant Antivirus Soft a encore muté…

antivirusoft.png

Une fois, ça va, deux fois… ça lasse. En dépit de la mise à jour de Microsoft Security Essentials, mon antivirus (graticiel) actif, voici deux fois de suite que je me retrouve infecté par Antivirus Soft. Et comme je n’ai pas trouvé vraiment de solution idoine via l’Internet, voici des suggestions pour se débarrasser de ce logiciel malveillant sous Windows 7.


Antivirus Soft est un logiciel malveillant d’origine supposée russe qui va vous empester l’existence. Il n’a de cesse de vous empêcher d’ouvrir des applications en vous affichant d’incessants messages prétendant que votre machine est infectée par des tonnes de virus. Le but de la manœuvre est de vous faire acheter ce prétendu détecteur et éradicateur de virus.

Il peut s’installer et vous infecter de diverses manières, généralement inopinément après la visite d’un site fiable ou non. Pour mon compte, c’était l’un des trois sites de la presse anglaise que je consulte régulièrement : Timesonline (The Times), The Independent, The Guardian.

 

À deux reprises, il a généré, à la suite d’un clic sur l’un de ces sites (oublié lequel), l’apparition de l’interface du Reader d’Adobe. Lequel affichait un message d’erreur. Immédiatement, Antivirus Soft s’est installé. J’ai pu cependant consulter des forums et trouver des moyens préconisés pour l’éradiquer. Malheureusement, les méthodes se référaient à d’anciennes versions de Windows et non pas à la base de registre de Windows 7. Notez que, si Antivirus Soft a mis à profit une faille d’Acrobat Reader, il conviendra ultérieurement de le mettre à jour (actuelle version 9.3.1 le 18 fév. 2010).

 

Ce qu’il faut savoir, c’est que le nom de l’exécutable à supprimer et celui du dossier le contenant sont divers et variés. Mieux (enfin…), plusieurs instances du même exécutable (.exe) peuvent s’installer dans votre répertoire d’utilisateur.

 

La plupart des méthodes préconisées indiquent de redémarrer Windows en mode sans échec avec prise en charge réseau (afin de pouvoir consulter la documentation afférente en ligne). Je suggère plutôt, pour gagner du temps, de redémarrer et de lancer immédiatement le gestionnaire des tâches.

Donc, redémarrer et dès que l’interface de Windows apparaît, faire un « trois doigts » (Ctrl+Alt+Del, ou Suppr selon les claviers). Dans le gestionnaire de tâches, repérer le programme exécutable suspect. Dans mon cas, ce n’était pas wqcmsguard.exe, ou sysguard.exe, ni kglusftav.exe comme indiqué dans divers forums, mais vnrlsftav.exe (deuxième instance) ou sftav.exe (première infection). Première mesure, arrêter l’exécution de ce programme.

 

Sous Windows 7, passer ensuite dans votre compte d’utilisateur [NOMDUTILISATEUR], généralement en C:, soit c:/Utilisateurs/Nomdutilisateur/AppData/local

Repérer un dossier de six lettres en minuscules.

Ex. obcqpy

Vous devriez y trouver un .exe (ex. nlfnstav.exe).

Supprimer tout…

Attention, vous pouvez avoir plusieurs instances du malware dans divers dossiers.

Si vous ne voyez pas ce dossier Local Settings ou Local, c’est sans doute que le système n’est pas paramétré pour l’afficher. Allez dans Outils > Options des dossiers > [onglet] Affichage puis activez l’option « Afficher les fichiers et dossiers cachés ».

 

Passez ensuite sur un navigateur, voyez les conseils pour nettoyer la base de registre. Vous pourrez lancer Regedit et supprimer les clefs relatives à ce logiciel malveillant.

Le mieux est de lancer une recherche dans HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER avec le nom du programme .exe incriminé. Donc rechercher, dans cet exemple : vnrlstav.exe. Supprimez ces clefs et références.

 

En première instance, j’avais trouvé une clef incriminée que signalaient les forums :

HKEY_CURRENT_USER > Sofware > Microsoft > Windows > CurrentVersion > Internet Settings ProxyServeur=http=127.0.0.1:5555 Ayant supprimé cette référence lors de la première tentative de suppression du virus, je ne l’ai pas retrouvée après réinfection. Je n’utilise pas de serveur de proxy pour me connecter à Internet via Firefox, et je ne sais pourquoi cette valeur se trouvait dans ma base de registre. Il se peut qu’un logiciel malveillant l’ait créée. Autant la supprimer. Vous pouvez aussi supprimer les clefs (Windows XP) :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes” = “.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyOverride” = “”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1″
 
Pour empêcher vos connexions internet d’avoir recours à un proxy, vous pouvez aussi fixer la valeur de la clef ProxyEnable à 0 (au lieu de 1) via les Internet Settings.   Logiquement, au redémarrage de votre machine, Antivirus Soft ou ses variantes (Antivirus Live, par exemple) ne pourra plus s’activer. Notez que si vous cédiez à la tentation d’acheter votre tranquillité auprès d’un site commercialisant Antivirus Soft, vous communiqueriez un numéro de carte de crédit qui risque fort d’être par la suite utilisé à des fins malhonnêtes.
 
Si ces mesures vous semblent compliquées, une autre méthode consiste à restaurer le système (Windows XP, Vista, 7) à son état antérieur en utilisant la « restauration système ». C’est ce que j’avais essayé la première fois, en vain (la restauration à la date la plus récente ne s’effectuant pas). Mais cela peut fonctionner.
 
Cette infection serait due à un « ver » qui aurait, selon BitDefender, été à la source de plus de 6 % des attaques virales mondiales en janvier dernier (troisième du classement pour la période). Il a pour particularité de se propager via des sites considérés « de confiance » et de bloquer la mise à jour du système via Vindows Update ou de divers sites d’antivirus fiables. Passée la suppression d’AntiVirus Soft, un diagnostic plus approfondi s’impose. Pour mon compte, au dernier redémarrage, Microsoft Security Essentiels avait détecté le Trojan Win32.Renos. Il aurait été éradiqué. Croisons les doigts…
 
Un avant-dernier mot : ces applications ont un surnom en anglais, ransomware. Parce que votre machine est prise en otage, vous devez payer une rançon à la suite d’un rackett. Les frères Rapetout, les bandits adversaires de Mickey et Picsou, se sont mis à l’informatique. Saviez-vous que l’Afub, l’association française des usagers des banques, décernait un Prix Rapetout ? Pour janvier 2010, le palmarès primait Le Crédit agricole, avec ensuite les Caisses d’Epargne et le groupe Banque Populaire. C’est la mutualisation de l’arnaque. Après tout, le ransomware est peut-être tout aussi légal que les pratiques des banques… 
 
Et le(s) dernier-s) mot(s)… Pour étrangler le « cri » du logiciel malvaillant, à défaut de le lui faire rentrer dans la gorge, il ne suffit pas de lui dire « non, tu ne passeras pas par moi… ». Tout clic sur l’interface d’un ransomware l’encourage, le propage. Ignorez donc ses avertissements et débranchez de suite le câble réseau de votre ordinateur (ou de votre console fournie par votre fournisseur d’accès Internet). Cela peut suffire à empêcher des fichiers essentiels au fonctionnement de l’intrus de s’installer. Débranchez !
 
Pour les établissements bancaires, et leurs succursales et agences (une branch est une agence bancaire), c’est plus difficile. Mais souvenez-vous…
 
La vie ne tient qu’à un fil…
Débranche, débranche,
Coupe la lumière et coupe le son,
Débranche, débranche, débranche tout.
Revenons à nous.
 
(Interprété par France Gall, et pour rester « maîtres du temps et des ordinateurs », il faudra bien un jour s’y résoudre).

Auteur/autrice : Jef Tombeur

Longtemps "jack of all trades", toujours grand voyageur. Réside principalement à Paris (Xe), fréquemment ailleurs (à présent, en Europe seulement). A pratiqué le journalisme plus de sept lustres (toutes périodicités, tous postes en presse écrite), la traduction (ang.>fr. ; presse, littérature, docs techs), le transport routier (intl. et France), l'enseignement (typo, PAO, journalisme)... Congru en typo, féru d'orthotypographie. Blague favorite : – et on t'a dit que c'était drôle ? Eh bien, on t'aura menti !

2 réflexions sur « Le très malveillant Antivirus Soft a encore muté… »

  1. Bonjour Jeff, merci pour votre article et de vos informations.
    Néanmoins, je pense devoir y apporter un commentaire concernant ces anti-virus gratuits.
    En effet, le jour où les internautes comprendront que ces antivirus ne valent pas un antivirus payant, peut-être seront-t-ils moins ennuyés…
    D’autant plus que s’ils ont découvert ce fameux « antivirus soft », mais je serai prête à parier que d’autres vers/trojan/virus etc… sont déjà bien présents sur votre ordinateur…

    Ensuite, votre article parle de la différence entre la base de registre de Windows XP et celle de Windows 7… Honnêtement, à moins d’être un débutant en informatique (auquel cas, je déconseille fortement l’accès à la base de registre), il est tout à fait aisé de retrouver ses petit sous Windows 7.

    Bref, c’est encore une nouvelle fois un malware qui a été découvert(re-découvert) démontrant avec brio la stupidité des hommes à faire tout et n’importe quoi sur leur PC et essayant de grappiller des économies ici ou là, au risque de perdre beaucoup en terme de sécurité…

    L’homme et sa sécurité doivent constituer la première préoccupation de toute aventure technologique.
    (Albert Einstein)

  2. Effectivement, un débutant gagnera à demander à quelqu’un de plus familiarisé de s’aventurer dans la base de registre, Patgin.
    En revanche, autant utiliser adéquatement la fonction de recherche.
    C’était fastidieux avec les anciens ordinateurs, peu véloces, c’est beaucoup plus rapide à présent de retrouver une clef.
    Les anti-virus gratuits ont au moins, pour la plupart, cela de bien : pas d’interface surchargée de [i]bells & whistles[/i], ils font juste ce qu’ils doivent faire.

Les commentaires sont fermés.