Comment supprimer les faux antivirus du type XP Internet Security 2011 ?
Dans la famille des faux antivirus, le dernier auquel je viens d'être confronté est "XP Internet Security 2011". Les concepteurs de logiciels malveillants ayant une imagination sans borne et une capacité d'adaptation remarquable, vous pourrez également le rencontrer sous le nom de "Vista Antispyware 2011" ou encore "Windows 7 Antimalware 2011" (et bien d'autres encore, voir la suite de la note).
La procédure de désinfection est un peu compliquée mais en suivant les indications suivantes, vous devriez quand même en venir à bout.
Symptômes :
- Une première petite fenêtre vous informe, en anglais, que Windows Security a détecté une activité suspecte sur votre ordinateur et qu'un scan rapide va être effectué. En réalité, Windows n'a rien à voir avec cela et il s'agit bien là de la première manifestation du faux antivirus Internet Security 2011. Le piège commence à se refermer lorsque vous cliquez sur "OK".
- Un simulacre de scan de votre disque dur s'affiche ensuite mais ce n'est en fait qu'une animation dans une page Internet. Pour rendre tout cela plus crédible, une fenêtre "Windows Security Alert" confirme la présence de logiciels malveillants et vous propose d'emblée de télécharger un logiciel .
- Evidemment, il ne faut pas longtemps pour qu'Internet Security 2011 vous fasse croire que votre PC est sérieusement infecté. Pour enfoncer le clou, un message dans la zone de notification vous le rappelle régulièrement. Il est alors trop tard pour essayer de démarrer votre antivirus ou antispyware préféré.
- Si vous n'avez pas encore senti l'entourloupe et que vous cliquez sur "Remove All", Internet Security 2011 vous propose de nettoyer votre PC en enregistrant votre version du logiciel, tout en vous en faisant l'article
- Dernière chance de limiter les dégâts, ne pas payer les 49,95$ minimum demandés pour désinfecter votre ordinateur.
Solution :
Je propose là une méthode que je n'ai pas testé lorsque j'ai été confronté à XP Internet Security 2011, mais qui s'est révélée efficace selon Fred (voir commentaire du 19/02/2011 à 00:47). Cette méthode est la même que celle proposée pour supprimer "System Tool, avec une efficacité de 82%. Si c'est le cas pour vous aussi, merci de le confirmer en participant au petit sondage en fin de note !
- Commencez par redémarrer votre ordinateur en mode "sans échec avec prise en charge réseau".
- Lancez ensuite une restauration du système : (sous XP : "Programmes / Accessoires / Outils Système / Restauration du système / Restaurer le système", sous Vista et 7 : "Tous les programmes / Accessoires / Outils Système / Restauration du système". Ne vous inquiétez pas, la restauration n'impacte pas vos documents, musiques ou photos.
- Sélectionnez un point de restauration antérieur à la date d'apparition de XP Internet Security 2011. Lancez la restauration.
- Votre PC va redémarrer. Attendez le message vous confirmant que la restauration s'est correctement passée. Dans ce cas, vous n'êtes plus infecté par XP Internet Security 2011 !
Il est enfin nécessaire, afin de parfaire la désinfection, de désactiver puis de réactiver la restauration du système (sous Windows XP, clic-droit sur le "Poste de travail", puis "Propriétés"/ "Restauration du système", cochez la case "Désactivez la restauration du système", cliquez sur "Aplliquer" puis "OK" puis refaite la même opération en décochant la case, sous Windows 7, clic-droit sur l'"Ordinateur", "Protection du système". Sélectionnez le disque C:\ puis "Configurer").
Il est possible qu'après la restauration du système, votre anti-virus signale un dysfonctionnement. C'est le cas avec McAfee. Pour remettre les choses dans l'ordre, une simple mise à jour suivie d'un éventuel redémarrage suffira.
Si cette méthode, simple, n'est pas efficace dans votre cas, suivez alors l'une des 2 méthodes suivantes :
- Ouvrez le gestionnaire des tâches (clic droit sur la barre des tâches / "Gestionnaire des tâches"). Si le bureau ne s'affiche pas, appuyez simultanément sur les touches Ctrl Alt et Suppr.
- Activez l'onglet "Applications", repérez la ligne "Xp Internet Security - Unregistred Version " (ou l'équivalent en fonction du nom de votre version), puis faites un clic droit puis un clic gauche sur "Aller dans le processus". Le processus "pw.exe (dans l'exemple précis) est sélectionné, cliquez sur "Terminez le processus". Il est possible également que le processus sélectionné soit nommé "exefile.exe".
- Si le bureau n'est pas affiché, activez de nouveau l'onglet application puis cliquez sur "Nouvelle tâche". Entrez "explorer.exe" (sans les "") et validez. Le bureau doit s'afficher.
- Lancez l'explorateur Windows, autorisez l'affichage "des fichiers et dossiers cachés" et désactivez le masquage "des fichiers protégés du système d'exploitation" et "des extensions des fichiers dont le type est connu".
- Suivez ensuite le chemin suivant : "C:\Documents and Settings\nom_utilisateur\Local Settings\Application Data" (sous XP) ou "C:\Utilisateurs\nom_utilisateur\Local Settings\Application Data" (sous Vista ou Seven).
- Si Internet Security 2011 s'est relancé entre temps, endormez-le de nouveau en terminant le processus pw.exe (ou son équivalent).
- Supprimez définitivement (combinaison des 2 touches Maj et Suppr) les fichiers pw.exe et opRSK .
- Là, vous avez 2 possibilités : passer directement à la désinfection par Malwarebytes' Antimalware, mais certaines versions d'Internet Security 2011 risquent de ne pas être corrigées. Dans ce cas, il faut suivre la "méthode longue" ci-après.
- Suivez le chemin suivant : "C:\Windows" et renommez l'exécutable "regedit.exe" en "regedit.com". Lancez l'éditeur de registres en cliquant sur "regedit.com".
- Commencez par faire une sauvegarde de la base de registres : sélectionnez le "Poste de travail" ("Ordinateur" pour Vista et Seven) dans la colonne gauche, puis en cliquez sur "Fichiers / Exporter" et enregistrez la sauvegarde sur le bureau.
- Développez ensuite la clé suivante : "HKEY_CLASSES_ROOT/.exe ". Notez sur une feuille le nom indiqué à la ligne "par défaut", dans le cas présent "sezfile". Attention s'il est écrit "exefile" ou "Application" passez directement à l'étape "Malwarebyte's" (ne tenez pas compte des 4 étapes suivantes).
- Recherchez alors la clé "HKEY_CLASSES_ROOT/sezfile ", faites un clic-droit sur "sezfile" puis "Supprimer". Confirmez la suppression.
- Revenez à la clé ""HKEY_CLASSES_ROOT/.exe", faites ensuite un clic-droit sur "par défaut" puis "Modifier" et remplacez "sezfile" (ou ce que vous avez noté) par "exefile". La désinfection est presque terminée.
- Allez à la clé "HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command ", faites un clic-droit sur "par défaut" puis "Modifier". Supprimez le texte pour ne laisser que "C:\Program Files\Internet Explorer\iexplore.exe" (avec les "") ou "C:\Programmes\Internet Explorer\iexplore.exe" (avec les "", pour Vista et Seven). Refermez l'éditeur de registres.
- Si vous avez suivi la méthode longue, vous pouvez passer l'étape Malwarebytes'. Toutefois, et surtout si vous n'êtes pas sûr de la santé de votre PC, un scan pourra s'avérer bénéfique.
- Il faut maintenant supprimer toutes traces d'Internet Security 2011. Téléchargez (enregistrez le programme d'installation sur le bureau) Malwarebytes' Anti-Malware. Pour piéger Internet Security 2011 qui va chercher à bloquer le programme d'installation, changez l'extension de ce dernier en .com au lieu de .exe (si vous avez suivi la méthode longue, ceci est inutile). A la fin de l'installation, autorisez la mise à jour du programme, mais décochez l'option d'exécution.
- Redémarrez votre PC en mode "sans échec".
- Ne démarrez pas Malwarebytes' Anti-Malware à partir du raccourci du bureau, cela ne sert à rien (sauf si vous avez suivi la méthode longue). Suivez le chemin suivant : "C:\Program Files\Malwarebytes' Anti-Malware" (sous XP), "C:\Programmes\Malwarebytes' Anti-Malware" (sous Vista et Seven) et renommez "mbam.exe" en "mbam.com". Cliquez sur "mbam.com" pour lancer Malwarebytes' et exécutez un examen complet. L'analyse peut durer de quelques dizaines de minutes à plusieurs heures en fonction du volume d'informations présentes sur votre (vos) disque(s) dur(s).
- Lorsque l'examen est terminé , cliquez sur "Supprimer la sélection" pour que Malwarebytes' nettoie les infections détectées et vérifiez sur le rapport qu'elles ont bien toutes été supprimées. Pensez à renommer "mbam.com" en "mbam.exe" pour que le raccourci du bureau soit redevienne opérationnel.
- Redémarrez votre ordinateur. Vous y êtes presque.
- Dans l'explorateur Windows, désactivez l'affichage "des fichiers et dossiers cachés" et autorisez le masquage "des fichiers protégés du système d'exploitation" et "des extensions des fichiers dont le type est connu".
Il est enfin nécessaire, afin de parfaire la désinfection, de désactiver puis de réactiver la restauration du système (sous Windows XP, clic-droit sur le "Poste de travail", puis "Propriétés"/ "Restauration du système", sous Windows 7, clic-droit sur l'"Ordinateur", "Protection du système". Sélectionnez le disque C:\ puis "Configurer").
Comme indiqué en début de cette note, ce logiciel malveillant peut prendre des noms différents. En voici quelques uns (y compris le millésime 2012 !) :
Sous XP :
- XP Internet Security 2011
- XP Antimalware 2011
- XP Antispyware 2011
- XP Security Tool 2011
- XP Security 2011
- XP Internet Security 2012
- XP Antimalware 2012
- XP Antispyware 2012
- XP Security Tool 2012
- XP Security 2012
Sous Vista :
- Vista Internet Security 2011
- Vista Antimalware 2011
- Vista Antispyware 2011
- Vista Security Tool 2011
- Vista Security 2011
- Vista Internet Security 2012
- Vista Antimalware 2012
- Vista Antispyware 2012
- Vista Security Tool 2012
- Vista Security 2012
Sous Windows 7 :
- Win 7 Internet Security 2011
- Win 7 Antimalware 2011
- Win 7 Antispyware 2011
- Win 7 Security Tool 2011
- Win 7 Security 2011
- Win 7 Internet Security 2012
- Win 7 Antimalware 2012
- Win 7 Antispyware 2012
- Win 7 Security Tool 2012
- Win 7 Security 2012
Vous avez un compte Gmail ? Recommandez cette page si elle vous a été utile !
Merci beaucoup pour cet article,
ça fait 2 jours que j'ai cherchais la solution, et en suivant la procédure ça a très bien marché.
Merci beaucoup.
Tibi
Merci beaucoup pour votre commentaire qui prouve que la "méthode courte" fonctionne dans certains cas (j'ai en effet enrichi ma note avec la "méthode longue" après ce commentaire).
merci pour ces conseils
Merci, ça a marché.
J'ai effectué le travail après avoir redémarré le pc en mode sans échec. Pour le moment, le problème semble réglé.
Merci également à vous Laurent d'être revenu sur le blog pour écrire ce commentaire :-)
nouveau process avec exefile.exe
je ne suis pas capable de me mettre en mode sans echec et je ne trouve pas le fichier pw.exe et le virus mempeche de faire marcher regedit.;(
@V
Merci pour l'info, je vais l'indiquer dans la note. :-)
@Ben
Pour démarrer en mode sans échec, redémarrez votre ordinateur, puis, dès que l'écran s'allume, tapotez alternativement sur les touches F5 et F8 de votre clavier. Vous devriez ainsi arriver sur l'écran d'accueil du démarrage en mode sans échec.
Dans mon cas, le fichier ne s'appelait pas "pw.exe", je l'ai trouvé mais n'en ai malheureusement pas noté le nom exact, c'était quelque chose comme "PC2011".
Pour le reste, le processus décrit m'a semble-t-il permis de régler le problème (qui était pour le moins énervant).
Encore merci !
Je viens d'avoir eu le cas... et j'ai procédé de manière différente - tout simplement en restaurant mon pc à un point de sauvegarde antérieur.
2 clics et une minute plus tard, mon pc était débarrassé de cette crasse, le firewall était à nouveau actif et l'antivirus aussi :-)
PS : j'aurais bien suivi votre procédure indiquée ci-dessus, mais mon pc étant infecté ; plus moyen d'avoir accès à internet - IE8 et Firefox bloqués... improvisation donc.
Merci beaucoup, moi j' ai eu une version avancée de xp internet security 2011 et vos solutions marchaient mais le processus avait un nom différent. Avec l' anti-malware tout s' est passé comme prévu.
Bonjour.
J'ai egalement le probleme avec se virus XP2011...
J'ai tout essayer, j'ai passé plusieur fois "Malwarebytes' Antimalware" en mode sans échec, il trouve toujours des fichiers infectés (2 heures à chaque scan), meme en mode sans echec restauration systeme et toujours pareil au demarage le virus se lance...
Je n'ai pas non plus les deux fichiers a suprimer dans ""C:\Documents and Settings\nom_utilisateur\Local Settings\Application Data" (sous XP)"
une solution pour moi ??? SVP
Merci d'avance.
Je viens de verifier chez moi le virus ce nomme "teb.exe" mais impossible de le trouver pour le suprimer ???
J'ai un gros soucis, tout mes fichier du C: je ne peux plus les lancer, j'ai suivi la méthode longue et j'ai installer le Malwarebytes et je n'arrive a lancer aucun programme .
Enfaite, avant de lancer le Malwarebytes tout refonctionnait très bien, et j'ai voulu désinfection comme il faut, et il m'a trouver 114 fichier contaminé alors j'ai tout supprimer, et maintenant je n'arrive plus a lancer des programmes (tels que le malwarebytes par exemple, ou encore les propriétés du poste de travail ) et je n'ai plus de LocalSettings .
Merci de m'aider au plus vite svp
Cordialement.
Je deviens fou.... je viens de reussir à suprimer le virus "teb.exe" et maintenant impossible d'ouvrir les fichiers ".exe", meme la restauration systeme ne fonctionne pas... A l'aide SVP
@Phil
Avez-vous suivi toute la "méthode longue"?
@Lucas
Essayez de redémarrer votre PC.
Si cela ne suffit pas, reprenez la méthode longue pour rétablir l'association vers les fichiers .exe.
non je n'ai pas suivi la methode longue car j'ai effectué un scan complet avec MAAM à 3 reprise et le virus etait toujours present au redemarage... comment faire pour que mais fichier .exe refonctionnent ? j'ai meme essayé de refaire un nouveau type de fichier .exe = application et ca fonctionne toujours pas... je voudrais faire une retauration systeme !!! je suis vraiment une truffe...
@Phil
La méthode longue permet justement de rétablir le fonctionnement des fichiers .exe.
Suivez donc pas à pas cette méthode et vous devriez finir par faire à peau à XP Internet Security 2011 !
la methode long a planté mon systeme, je suis en train de reparer XP avec le CD, mais il me manque le pack 2 sur ce CD donc sa beug....
super, merci, cela a fonctionné avec la méthode courte... il semblerait que ce virus soit très contagieux à la lecture des nombreux commentaires postés ce jour !
Un énorme merci.
J'ai préféré suivre de suite la méthode longue et XP antispyware 2011 et à priori cette saloperie a disparu .deux points de précisions :
1. le truc a encore "muté" car je l'ai trouvé sous "ckr.exe"
2. sous HKEY_CLASSES_ROOT/exe, ce n'est "sezfile" que j'avais mais "exefile".
3. je ne peux malheureusement pas utiliser la restauration car j'ai beau cliquer droit sur poste de travail et propriété il ne me propose pas "restauration du système" . Je n'ai bien sur plus de possibilités non plus via le menu démarrer - outils système.
4..Par contre j'avais le même souci que Phil avec les exe qui ne s'ouvraient plus alors que j'ai suivi scrupuleusement le processus.
j'ai trouvé semble-t-il trouvé la solution sur un autre forum : il faut télécharger http://www.dougknox.com/xp/fileassoc/xp_exe_fix.zip puis
•Décompresse le
•Tu vas obtenir un fichier .reg
•Double-clique sur ce fichier .reg pour le lancer.
•Accepte la fusion au registre
•Un message de réussite te disant que tout s'est bien passé doit s'afficher.
puis redémarrer l'ordi
(source post Marie http://www.vista-xp.fr/forum/topic1449.html)
depuis mes .exe fonctionnent
le message d'erreur pour la restauration du systeme est
"la restauration du systemen a été mise hors tension par la stratégie de groupe. Pour mettre la restauration du système sous tension, contactez votre administrateur "
nous n'avons fait aucune manip pour cela, est-ce du au virus ?
Je pouvais tout à fait restaurer le systeme, avant ce virus.
@Semiramis
Merci pour vos précisions. D'après ce que vous écrivez, vous deviez pouvoir lancer les programmes sans problème, puisque la clé HKEY_CLASSES_ROOT/exe contenait toujours "exefile". Je me trompe.
En tout cas, merci pour la solution que vous avez trouvé par ailleurs.
Concernant la restauration, je ne saurais répondre à votre question. Il nous faudrait d'autres témoignages pour conclure à un effet du virus.
la méthode facile a très bien fonctionné! Merci pour cet aide précieuse :) Qu'est ce qu'on ferait sans vous les mecs!
Enjoy
La méthode courte a fonctionné pour moi. Merci pour cette solution !!
La méthode courte m'a visiblement bien réussie ... Merci pour vos conseils.
Aprés avoir tenté a maintes reprises d'atomiser cette sal*$ù^de virus je n'ai pas reussi
j'ai deja quelques problemes dans gestionnaire de taches / processus il m'est impossible de trouver le fichier .exe
De plus j'ai tenté de rentrer par C:/ utilisateur et la il me renvoie directement sur "mes documents"
j'ai aussi essayé de recuperer une sauvegarde anterieure (version courte) mais la version courte enregistrée date du 19/02 a 20h15 pour ne pas dire samedi (jour ou mon cher pere a cru bon de lancer ce nettoyage venu d'ailleurs !!!) et donc ca en revient toujours au meme probleme
pour moi impossible de le supprimer par ces moyens !!!
je n'ai meme plus acces au formatage du disque ....
je reflechissais a quelque choses de plus expeditif tel que le jeter par la fenetre ou le couper en 2 dans le sens de la hauteur ...
en tout cas merci beaucoup pour vos astuces ;)
Pour moi c'est une réussite parfaite... débarrasé de cette saloperie.
Restauration du système et réussite totale...
erci pour le coup de pouce.
Je voulais dire... Merci pour le coup de pouce... :-)
De retour après sauvegarde de mes document, j'ai essayé la méthode de Semiramis et... Miracle mes ".exe" refonctionnent !!!
Le seul problème c'est que la restauration système maintenant ne fonctionne pas, enfin elle ne me ser à rien, car j'ai réparé avec le CD XP donc tout ce qui était avant la réparation a disparut, vraiment je suis dégoûté... mais merci mille fois "Semiramis" car ton fichier ".reg" c'est de la bombe.
Je suis en train de relancer un scan avec MAAM et déjà 2 fichiers infectés, alors qu'il y a deux jours en mode sans échec il n'y en avait plus...
Je comprend vraiment plus rien :(
salut,
merci pour les conseils à l'auteur du blog...
Moi j'ai bloqué le fichier du virus à l'aide de glary utilities (process explorer aurait pu le faire aussi) et j'ai utilisé Malwarebytes' Anti-Malware d'abord scan rapide et ensuite en minutieux, et au redémarrage tout est revenu à la normale... plus rien ne se lançait au démarrage (antivirus...) J'ai renommé les .exe en .com autrement impossible de lancer quoi que ce soit...
Maintenant pouvez vous me dire ou vous avez chopper une telle saloperie (moi c'est pas mon ordi...) je n'ai jamais vu un truc pareil depuis que j'ai un pc (99) !!
Les éditeurs de ce sympatique logiciel ont ils un site internet qu'on puisse s'en occuper ???
J'ai utilisé la méthode de restauration système et ça fonctionné
Merci
Bonjour J'ai adoré !
Aujourd'hui internet est polluer de comment on fait cela!
J'ai réussit avec le principe mais j'ai arrêté les taches d'anti virus puis rebooter avec la derniere bonne configuration . Bien attendu cela demande une certaine expérience en ordi.
Je le redit encore félicitation bien détaillé et pas n'importe quoi.
merci, merci ! tout est parfait !
J'ai utilisé la méthode simplifié de restauration système et ça fonctionné en 15 minutes
Merci
merci pour vos conseils
nous venons de nous débarasser de ce virus grâce à la méthode courte
encore merci!
Bonjour !
Merci pour ces astuces, la méthode longue a l'air de fonctionner. Mais j'ai toujours un problème avec les mises à jour automatiques de Windows que je n'arrive pas à réactiver. Comment faire ?
Buenos Dias!!!!Ustedes si que se pasaron, son lo maximo!!!.. super bien, ya me andaba dando dolor de cabeza ese maldito malware... millones de gracias!!
Bonjour!..C'est vraiment fantastique, un gros merci!
Merci beaucoup,
j'ai moi aussi réglé le problème de windows security 2011 en 20 min.
Quelle simplicité !
merci , en quelques minutes problémes résolu en restauration systeme , encore merci , dorénavant je serais encore plus prudent ....
merci beaucoup ,une restauration système en mode sans échec et le tour est joué;ouf!!!
Bonjour, je vous remercie beaucoup, je me suis débarrassé du problème survenu le 05/04 avec une restauration au 04/04.
Par contre, j'ai l'impression que de virus c'est installé lorsque j'ai voulu ouvrir la piece jointe d'un mail venant de DHL global et me demandant d'ouvrir la piece jointe pour avoir le numero de suivi du colis.
Cela vous parait-il possible et est ce que quelqu'un a reçu le même genre de mail?
Cordialement
salut, merci pour toutes ces infos, pour ma part j'ai eu le soucis sur 2 machines, sur une la restauration du système a fonctionner sans problème, sur l'autre j'ai du utiliser Malwarebytes' Antimalware (2heures de scan complet:( ) qui a bien fonctionner,
sauf que uniquement pour le profil de l'utilisateur (non administrateur) qui a été infecté il était impossible de lancer les ".exe" (avec un autre profil ça fonctionnait bien)
A cause de stratégies de groupes impossible non plus de le mettre en administrateur, du coup la modification du registre n'était pas possible (mais les clé concernées n'avaient pas l'air d'avoir été corrompues) du coup j'ai du utiliser la méthode suivante trouvée sur un autre forum:
Depuis un autre profil créez un fichier *.inf et copier collez le texte suivant dedans:
[Version]
Signature="$Chicago$"
[DefaultInstall.NT]
AddReg=Fix
RenFiles=Ren_rundll
[DefaultInstall]
AddReg=Fix
RenFiles=Ren_rundll
[Fix]
HKCR,exefile\shell\open\command,,0,"""%1"" %*"
[Ren_rundll]
rundll32.exe,run32.exe
puis enregistrez ce fichier sur le bureau du profil corrompu, rouvrez la session celui ci et faites clique droit> installer sur ce fichier.
en esperant que ça soit utile à quelqu'un d'autre.
Merci!
Yes sir ca fonctionné avec la methode de restauration......merci
Bonjour,
Je voudrais savoir comment pour la methode courte sait-on la derniere date de restauration du system? Je ne suis pas super douer en informatique et je n'ai jamais fais cela auparavant.
Merci
J'ai essayer le methode courte, mais ca n'a pas fonctionner et quand j'essaye la methode longue impossible d'arriver a trouver a trouver le fichier (C:\Documents and Settings\nom_utilisateur\Local Settings\Application Data) en suivant le chemin. Je sais plus quoi faire pour stoper ce virus
Pour moi la troisième méthode a fonctionné merci beaucoup
Aucune des trois méthodes n'a marché.
J'ai enfin réussi à m'en débarasser en téléchargeant l'antivirus gratuis : microsoft Security Essentials sur : http://www.microsoft.com/france/securite/particuliers/
Comme mon accés internet était bloqué, j'ai téléchargé microsoft Security Essentials depuis un autre PC sur une cléf USB. Puis je l'ai téléchargé sur le PC infecté. Il faut ensuite télécharger les mises à jours, puis faire un scan rapide puis un scan complet. Maintenant mon PC est comme neuf.
Merci,
La première méthode a très bien marché,
j'ai pu résoudre le problème en un laps de temps.