Bonjour à tous,

Un de mes potes entrepreneur climaticien m'appelle samedi dernier...
Il est en train de travailler sur sa comptabilité d'entreprise et se rend sur internet pour y chercher quelques informations.

Tout à coup, survient un message lui indiquant qu'il est infecté par plusieurs virus/trojan; l'intru lui propose d'installer la toute dernière version de XP Antivirus 2008 (Il peut apparaître avec des noms différents).
Bien entendu, tous les textes sont en anglais. Il est pourtant protégé avec McAfee security v8 (sûrement mal/peu paramétré au niveau du pare-feu).
Pas vraiment au fait des soucis de l'informatique, il se sert de sa machine pour travailler uniquement... Toujours est-il, qu'il confond les 2 logiciels et machinalement, il clique sur le téléchargement du produit en vue de son installation.

Entre-temps, il m'appelle pour me décrire son souci. Lorsque j'arrive le produit est déjà "un peu  partout".
Le dossier 'temp' contient déjà tous les fichiers d'installation, le dossier 'Program Files' est investi...

Il faut tout virer immédiatement !

1. Je commence par désactiver la connexion réseau pour extraire la machine de tout danger potentiel,
2. Inutile de chercher à désinstaller le produit depuis Ajouter/Supprimer car rien n'apparaît dans la liste. Il faut détruire "à la sauvage",
3. Suppression de tous les fichiers contenus dans le dossier \Temp. L'exécutable est en cours d'exécution donc impossible à supprimer pour le moment,
4. Suppression de tous les fichiers contenus dans le dossier \Program files\NOMXXXXXX (Il peut avoir plusieurs noms; fiez-vous à la date/heure d'installation,
5. Depuis Démarrer/Exécuter... en tant qu'administrateur, saisissez la commande REGEDIT.EXE puis validez et cliquez sur OK. Attention à cette manip dans le registre; toute fausse manipulation peut entraîner une panne du système,
6. Recherchez la clé RunOnce. Juste au-dessus d'elle, se trouve la clé RUN à sélectionner,
7. Dans la fenêtre de droite, Supprimez la valeur de clé qui lance XP Antivirus Protection (chemin complet de l'exécutable) puis, quittez REGEDIT,
8. Redémarrez la machine.
9. Vous ne devriez plus avoir d'apparition de l'intru "XP Antivirus protection 2008"
10. Finissez pas détruire les fichiers restants dans \Temp et \Program Files\NOMXXXXX
11. Retournez dans les connexions réseau du panneau de configuration pour réactiver la connexion réseau.

Sur certains sites, vous trouverez d'autres informations plus complètes suivant le niveau d'infection de l'intru. Vous pouvez très bien l'avoir installé pour vous en servir . Sachez que vraiment peu de professionnels vous proposeront un logiciel de cette manière; il s'agit bien d'un usurpateur.

A l'aide du clic droit de la souris, cliquez sur la barre des tâches et sélectionnez 'Gestionnaire des tâches...'. Sur ce qui pourrait ressembler à XP2008Antivirus.exe et/ou XP2008Antivirus_Update.exe, l'un après l'autre, sélectionnez la tâche et cliquez sur le bouton 'Fin de Tâche'.
Ensuite, depuis une invite de commande ouverte 'En Tant qu'Administrateur', saisissez la commande REGSVR32.EXE /U SHLWAPI.DLL appuyez sur la touche 'Entrée' puis,  de nouveau REGSVR32.EXE /U WININET.DLL appuyez de nouveau sur la touche 'Entrée'.
Passez ensuite les différentes étapes décrites pour nettoyer votre machine.

Vous devriez pouvoir vous en sortir avec ceci. Si vous rencontrez des problèmes, n'hésitez pas à l'écrire.

Bonne journée.
Patrice.