Comment supprimer l'infection d'un faux antivirus

Auteur: Carmen Cernev



Les développeurs de faux logiciels de sécurité créent des fenêtres pop-up à l'apparence légitime promouvant des logiciels de sécurité. Ces fenêtres peuvent s'afficher sur votre écran lorsque vous naviguez sur Internet. Elles peuvent également se présenter sous la forme d'une « mise en garde » sur une page web, informant l'utilisateur que son système est « infecté ».

Voici quelques exemples de faux antivirus :

Des fenêtres pop-up de soi-disant « mises à jour » ou « alertes » vous invitent à effectuer certaines opérations comme cliquer pour installer le logiciel, accepter les mises à jour recommandées ou supprimer des virus ou des spywares indésirables. Si vous cliquez dessus, le faux programme de sécurité est alors téléchargé sur votre ordinateur.

La plupart se cachent dans un cheval de Troie que les utilisateurs sont encouragés à installer. Le cheval de Troie, un type de malware destiné à endommager votre ordinateur de l’intérieur, peut prendre plusieurs formes :

  • Plug-in ou extension de navigateur (généralement une barre d’outils)
  • Image, fond d’écran ou fichier d’archive associé en pièce jointe à un message e-mail
  • Codec multimédia nécessaire pour lire un clip vidéo
  • Logiciels partagés sur des réseaux peer-to-peer
  • Service en ligne gratuit d’analyse de malwares

Tous ces fichiers se présentent avec une extension « .exe » indiquant qu’il s’agit de fichiers exécutables. L’infection est automatiquement propagée dès que vous cliquez sur un fichier de ce type.

Nous avons élaboré une liste précise d’instructions qui vous aideront à supprimer les malwares d’un ordinateur infecté par un faux antivirus.

Étape 1 : Redémarrer l’ordinateur en Mode sans échec avec prise en charge réseau

Dans ce mode, Windows ne charge que les services de base, ce qui empêche l’activation des malwares dans la plupart des cas. N’oubliez pas qu’il s’agit d’un mode de diagnostic du système d’exploitation qui n’autorise pas le fonctionnement de la plupart des programmes, dont votre solution de sécurité.

Comment redémarrer le système en Mode sans échec avec prise en charge réseau sous Windows XP, Vista ou Windows 7 :

  1. Redémarrer votre système;
  2. Appuyez plusieurs fois sur la touche F8 avant le début du chargement de Microsoft Windows ; appuyez sur F8 toutes les secondes jusqu’à ce qu’un menu soit affiché (il s’agit des options de démarrage avancé).
  3. Sélectionnez « Mode sans échec avec prise en charge réseau » (voir image ci-dessous).

Comment redémarrer le système en Mode sans échec avec prise en charge réseau sous Windows 8

  1. Appuyez sur la touche Windows de votre clavier + la touche C.
  2. Un nouveau menu est alors affiché dans la partie droite de l’écran ; cliquez sur Paramètres.
  3. Cliquez sur Marche/Arrêt, maintenez la touche Maj de votre clavier enfoncée, puis cliquez sur Redémarrer.
  4. Cliquez sur Dépannage.
  5. Cliquez sur Options avancées.
  6. Cliquez sur Paramètres de démarrage.
  7. Cliquez sur Redémarrer.
  8. Appuyez sur la touche F5 de votre clavier pour activer le Mode sans échec avec prise en charge réseau. Windows démarre alors en Mode sans échec avec prise en charge réseau.
    Pour en savoir plus sur la manière de redémarrer votre ordinateur en Mode sans échec avec prise en charge réseau sous Windows 8, cliquez sur le lien ci-dessous :
    http://windows.microsoft.com/fr-fr/windows-8/windows-startup-settings-including-safe-mode

À l’écran de connexion, choisissez le compte Administrateur. Une boîte d’information s’ouvre pour vous donner la possibilité de continuer en Mode sans échec ou d’utiliser la fonction de restauration du système. Cliquez sur OUI pour continuer en Mode sans échec avec prise en charge réseau.

2. Rechercher manuellement le fichier infecté et le supprimer

Après vous être connecté à votre compte utilisateur Windows, téléchargez le programme suivant : Autoruns pour Windows– cet outil vous aidera à détecter l’emplacement du malware sur l’ordinateur.

Enregistrez le fichier et décompressez le contenu archivé (faites un clic droit sur le dossier Autoruns.zip et sélectionnez « Extraire ici » ou double-cliquez simplement sur le dossier pour l’ouvrir).

Le dossier contient deux fichiers .exe : Autoruns et Autorunsc. Faites un clic droit sur le fichier Autoruns, puis sélectionnez « Exécuter en tant qu’administrateur » (si vous utilisez Windows 7, Windows Vista ou Windows 8) ou double-cliquez dessus pour l’ouvrir si vous utilisez Windows XP.

Le programme s’ouvre et affiche une liste des programmes exécutés sur votre système (voir image ci-dessous).

Dans Autoruns, cliquez sur l’onglet Logon (deuxième onglet en haut de la fenêtre).

Faites défiler la page vers le bas et vérifiez les noms de fichier dans l’entrée Autoruns. Le malware apparaît normalement sous un nom aléatoire et, dans la plupart des cas, ne possède aucune information affichée dans les sections Description ou Publisher. Vérifiez, dans la section Image Path, les fichiers situés dans les emplacements suivants :

  • C:Users
  • C:Users|« Dossier quelconque »
  • C:Users« Utilisateur »AppDataLocal
  • C:Users« Utilisateur »AppDataLocalTemp
  • C:Users« Utilisateur »AppDataLocal« Dossier quelconque »
  • C:Users« Utilisateur »AppDataRoaming
  • C:Users« Utilisateur »AppDataRoaming« Dossier quelconque »
  • C:ProgramData
  • C:ProgramData« Dossier quelconque »
  • C:Documents and SettingsAll UsersApplication Data
  • C:Documents and Settings« Utilisateur »Application Data

Dans la plupart des cas, le malware se trouve sous la clé de registre affichée dans Autoruns sous la forme : HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Sous Image Path, vérifiez également l’extension du fichier qui devrait correspondre à l’un des exemples suivants : .exe, .dll, .com, .bat, .dat, .lnk, .js..

Une fois que vous avez localisé le fichier suspect, faites un clic droit dessus et sélectionnez Jump to Folder. Une fenêtre indiquant l’emplacement du malware sur votre ordinateur s’ouvre automatiquement.

Pour supprimer le fichier, vous devez faire un clic droit dessus, puis sélectionner Supprimer. Retournez ensuite à la fenêtre Autoruns, faites un clic droit sur le fichier suspect, puis sélectionnez Jump to Entry. Cela permet d’ouvrir la fenêtre de l’éditeur de registre et d’afficher la clé de registre qui charge le malware.

La clé de registre est sélectionnée par défaut lorsque vous choisissez d’ouvrir l’entrée spécifique. La seule chose qu’il reste alors à faire est de supprimer la clé de registre en faisant un clic droit dessus, puis en sélectionnant Supprimer.

Vous pouvez à présent fermer l’éditeur de registre, ainsi qu’Autoruns, et vider votre corbeille.

3. Supprimer tous les points de restauration

Il est fort probable qu’au moins un point de restauration ait été créé durant la période où votre ordinateur était infecté. Cela signifie que tout rétablissement d’un état antérieur de votre ordinateur correspondant à ce point de restauration aurait pour effet de l’infecter à nouveau.

Afin de supprimer correctement toute trace d’infection, vous devrez également effacer tous vos points de restauration.

Pour ce faire, effectuez les étapes suivantes :

  1. Ouvrez le Panneau de configuration, sélectionnez Système et sécurité, puis cliquez sur Système.
  2. Dans la partie gauche de la fenêtre Système, cliquez sur Protection du système.
  3. Si une autorisation d’administrateur est nécessaire, cliquez sur Oui.
  4. La fenêtre de protection du système s’ouvre et l’onglet Protection du système doit être sélectionné en haut de la fenêtre.
  5. Cliquez sur le bouton Configurer dans la fenêtre.
  6. Cela a pour effet d’ouvrir une nouvelle fenêtre comprenant une option « Paramètres de restauration » dans sa partie supérieure – recherchez l’option « Supprimer tous les points de restauration » en bas de la fenêtre, puis cliquez sur le bouton Supprimer situé en regard de cette option.
  7. Cliquez sur Continuer pour confirmer la suppression, puis cliquez sur le bouton de fermeture lorsque vous y êtes invité.
  8. Cliquez sur OK pour fermer les autres fenêtres.

À cette étape, tous les points de restauration ont été supprimés, ce qui signifie que vous avez éliminé le risque de ramener l’ordinateur à un état antérieur où l’infection était encore présente.

4. Redémarrez votre ordinateur en mode normal.

Connectez-vous à votre compte utilisateur et observez le comportement du système. L’infection du faux antivirus devrait être à présent complètement éliminée.

Problèmes d’ordinateur ? Si votre PC se met à fonctionner de manière anormale, appelez l’assistance technique Bitdefender. Notre équipe d’experts informatiques se tient en permanence à votre disposition pour vous donner des conseils personnalisés adaptés à vos besoins. L’assistant technique est disponible 24 heures sur 24, 7 jours sur 7. Sélectionnez tout simplement le service dont vous avez besoin et nos spécialistes se chargeront de tout le travail via une connexion à distance ultrasécurisée. Nous vous faisons gagner du temps et de l’énergie pour que vous puissiez vous concentrer sur les tâches réellement importantes pour vous.