Comment supprimer les faux antivirus du type XP Internet Security 2011 ?

Dans la famille des faux antivirus, le dernier auquel je viens d'être confronté est "XP Internet Security 2011". Les concepteurs de logiciels malveillants ayant une imagination sans borne et une capacité d'adaptation remarquable, vous pourrez également le rencontrer sous le nom de "Vista Antispyware 2011" ou encore "Windows 7 Antimalware 2011" (et bien d'autres encore, voir la suite de la note).
La procédure de désinfection est un peu compliquée mais en suivant les indications suivantes, vous devriez quand même en venir à bout.

Symptômes :

• Une première petite fenêtre  vous informe, en anglais, que Windows Security a détecté une activité suspecte sur votre ordinateur et qu'un scan rapide va être effectué. En réalité, Windows n'a rien à voir avec cela et il s'agit bien là de la première manifestation du faux antivirus Internet Security 2011. Le piège commence à se refermer lorsque vous cliquez sur "OK".
• Un simulacre de scan  de votre disque dur s'affiche ensuite mais ce n'est en fait qu'une animation dans une page Internet. Pour rendre tout cela plus crédible, une fenêtre "Windows Security Alert" confirme la présence de logiciels malveillants et vous propose d'emblée de télécharger un logiciel  .
• Evidemment, il ne faut pas longtemps pour qu'Internet Security 2011  vous fasse croire que votre PC est sérieusement infecté. Pour enfoncer le clou, un message dans la zone de notification vous le rappelle régulièrement. Il est alors trop tard pour essayer de démarrer votre antivirus ou antispyware préféré.
• Si vous n'avez pas encore senti l'entourloupe et que vous cliquez sur "Remove All", Internet Security 2011 vous propose de nettoyer votre PC en enregistrant votre version du logiciel, tout en vous en faisant l'article 
• Dernière chance de limiter les dégâts, ne pas payer les 49,95$  minimum demandés pour désinfecter votre ordinateur.

Solution :

Je propose là une méthode que je n'ai pas testé lorsque j'ai été confronté à XP Internet Security 2011, mais qui s'est révélée efficace selon Fred (voir commentaire du 19/02/2011 à 00:47). Cette méthode est la même que celle proposée pour supprimer "System Tool, avec une efficacité de 82%. Si c'est le cas pour vous aussi, merci de le confirmer en participant au petit sondage en fin de note !

• Commencez par redémarrer votre ordinateur en mode "sans échec avec prise en charge réseau".
• Lancez ensuite une restauration du système : (sous XP : "Programmes / Accessoires / Outils Système / Restauration du système / Restaurer le système", sous Vista et 7 : "Tous les programmes / Accessoires / Outils Système / Restauration du système". Ne vous inquiétez pas, la restauration n'impacte pas vos documents, musiques ou photos.
• Sélectionnez un point de restauration antérieur à la date d'apparition de XP Internet Security 2011. Lancez la restauration.
• Votre PC va redémarrer. Attendez le message vous confirmant que la restauration s'est correctement passée. Dans ce cas, vous n'êtes plus infecté par XP Internet Security 2011 !

Il est enfin nécessaire, afin de parfaire la désinfection, de désactiver puis de réactiver la restauration du système (sous Windows XP, clic-droit sur le "Poste de travail", puis "Propriétés"/ "Restauration du système", cochez la case "Désactivez la restauration du système", cliquez sur "Aplliquer" puis "OK" puis refaite la même opération en décochant la case, sous Windows 7, clic-droit sur l'"Ordinateur", "Protection du système". Sélectionnez le disque C:\ puis "Configurer").
Il est possible qu'après la restauration du système, votre anti-virus signale un dysfonctionnement. C'est le cas avec McAfee. Pour remettre les choses dans l'ordre, une simple mise à jour suivie d'un éventuel redémarrage suffira.

Si cette méthode, simple, n'est pas efficace dans votre cas, suivez alors l'une des 2 méthodes suivantes :

• Ouvrez le gestionnaire des tâches (clic droit sur la barre des tâches / "Gestionnaire des tâches"). Si le bureau ne s'affiche pas, appuyez simultanément sur les touches Ctrl Alt et Suppr.
• Activez l'onglet "Applications", repérez la ligne "Xp Internet Security - Unregistred Version  " (ou l'équivalent en fonction du nom de votre version), puis faites un clic droit puis un clic gauche sur "Aller dans le processus". Le processus "pw.exe (dans l'exemple précis) est sélectionné, cliquez sur "Terminez le processus". Il est possible également que le processus sélectionné soit nommé "exefile.exe".
• Si le bureau n'est pas affiché, activez de nouveau l'onglet application puis cliquez sur "Nouvelle tâche". Entrez "explorer.exe" (sans les "") et validez. Le bureau doit s'afficher.
• Lancez l'explorateur Windows, autorisez l'affichage "des fichiers et dossiers cachés" et désactivez le masquage "des fichiers protégés du système d'exploitation" et "des extensions des fichiers dont le type est connu".
• Suivez ensuite le chemin suivant : "C:\Documents and Settings\nom_utilisateur\Local Settings\Application Data" (sous XP) ou "C:\Utilisateurs\nom_utilisateur\Local Settings\Application Data" (sous Vista ou Seven).
• Si Internet Security 2011 s'est relancé entre temps, endormez-le de nouveau en terminant le processus pw.exe (ou son équivalent).
• Supprimez définitivement (combinaison des 2 touches Maj et Suppr) les fichiers pw.exe et opRSK .
• Là, vous avez 2 possibilités : passer directement à la désinfection par Malwarebytes' Antimalware, mais certaines versions d'Internet Security 2011 risquent de ne pas être corrigées. Dans ce cas, il faut suivre la "méthode longue" ci-après.
• Suivez le chemin suivant : "C:\Windows" et renommez l'exécutable "regedit.exe" en "regedit.com". Lancez l'éditeur de registres en cliquant sur "regedit.com".
• Commencez par faire une sauvegarde de la base de registres : sélectionnez le "Poste de travail" ("Ordinateur" pour Vista et Seven) dans la colonne gauche, puis en cliquez sur "Fichiers / Exporter" et enregistrez la sauvegarde sur le bureau.
• Développez ensuite la clé suivante : "HKEY_CLASSES_ROOT/.exe  ". Notez sur une feuille le nom indiqué à la ligne "par défaut", dans le cas présent "sezfile". Attention s'il est écrit "exefile" ou "Application" passez directement à l'étape "Malwarebyte's" (ne tenez pas compte des 4 étapes suivantes).
• Recherchez alors la clé "HKEY_CLASSES_ROOT/sezfile  ", faites un clic-droit sur "sezfile" puis "Supprimer". Confirmez la suppression.
• Revenez à la clé ""HKEY_CLASSES_ROOT/.exe", faites ensuite un clic-droit sur "par défaut" puis "Modifier" et remplacez "sezfile" (ou ce que vous avez noté) par "exefile". La désinfection est presque terminée.
• Allez à la clé "HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command  ", faites un clic-droit sur "par défaut" puis "Modifier". Supprimez le texte pour ne laisser que "C:\Program Files\Internet Explorer\iexplore.exe" (avec les "") ou "C:\Programmes\Internet Explorer\iexplore.exe" (avec les "", pour Vista et Seven). Refermez l'éditeur de registres.
• Si vous avez suivi la méthode longue, vous pouvez passer l'étape Malwarebytes'. Toutefois, et surtout si vous n'êtes pas sûr de la santé de votre PC, un scan pourra s'avérer bénéfique.
• Il faut maintenant supprimer toutes traces d'Internet Security 2011. Téléchargez (enregistrez le programme d'installation sur le bureau) Malwarebytes' Anti-Malware. Pour piéger Internet Security 2011 qui va chercher à bloquer le programme d'installation, changez l'extension de ce dernier en .com au lieu de .exe (si vous avez suivi la méthode longue, ceci est inutile). A la fin de l'installation, autorisez la mise à jour du programme, mais décochez l'option d'exécution.
• Redémarrez votre PC en mode "sans échec".
• Ne démarrez pas Malwarebytes' Anti-Malware à partir du raccourci du bureau, cela ne sert à rien (sauf si vous avez suivi la méthode longue). Suivez le chemin suivant : "C:\Program Files\Malwarebytes' Anti-Malware" (sous XP), "C:\Programmes\Malwarebytes' Anti-Malware" (sous Vista et Seven) et renommez "mbam.exe" en "mbam.com". Cliquez sur "mbam.com" pour lancer Malwarebytes' et exécutez un examen complet. L'analyse peut durer de quelques dizaines de minutes à plusieurs heures en fonction du volume d'informations présentes sur votre (vos) disque(s) dur(s).
• Lorsque l'examen est terminé , cliquez sur "Supprimer la sélection" pour que Malwarebytes' nettoie les infections détectées et vérifiez sur le rapport qu'elles ont bien toutes été supprimées. Pensez à renommer "mbam.com" en "mbam.exe" pour que le raccourci du bureau soit redevienne opérationnel.
• Redémarrez votre ordinateur. Vous y êtes presque.
• Dans l'explorateur Windows, désactivez l'affichage "des fichiers et dossiers cachés" et autorisez le masquage "des fichiers protégés du système d'exploitation" et "des extensions des fichiers dont le type est connu".

Il est enfin nécessaire, afin de parfaire la désinfection, de désactiver puis de réactiver la restauration du système (sous Windows XP, clic-droit sur le "Poste de travail", puis "Propriétés"/ "Restauration du système", sous Windows 7, clic-droit sur l'"Ordinateur", "Protection du système". Sélectionnez le disque C:\ puis "Configurer").

Comme indiqué en début de cette note, ce logiciel malveillant peut prendre des noms différents. En voici quelques uns (y compris le millésime 2012 !) :
Sous XP :

• XP Internet Security 2011
• XP Antimalware 2011
• XP Antispyware 2011
• XP Security Tool 2011
• XP Security 2011
• XP Internet Security 2012
• XP Antimalware 2012
• XP Antispyware 2012
• XP Security Tool 2012
• XP Security 2012

Sous Vista :

• Vista Internet Security 2011
• Vista Antimalware 2011
• Vista Antispyware 2011
• Vista Security Tool 2011
• Vista Security 2011
• Vista Internet Security 2012
• Vista Antimalware 2012
• Vista Antispyware 2012
• Vista Security Tool 2012
• Vista Security 2012

Sous Windows 7 :

• Win 7 Internet Security 2011
• Win 7 Antimalware 2011
• Win 7 Antispyware 2011
• Win 7 Security Tool 2011
• Win 7 Security 2011
• Win 7 Internet Security 2012
• Win 7 Antimalware 2012
• Win 7 Antispyware 2012
• Win 7 Security Tool 2012
• Win 7 Security 2012