Depuis hier je suis infecté par le spyware WinAntiVirus Pro. Comment je l’ai eu ? Je ne sais pas, je ne suis pas du genre à me faire avoir avec des pièces jointes, je ne vais que sur des sites sûrs… Toujours est-il que j’ai régulièrement des Pops-Ups pour WinAntiVirus Pro :na:
Bien entendu, j’ai fait de nombreuses recherches sur le net mais tout ce que j’ai trouvé concernait la désinstallation du programme en lui-même, pour ceux qui avaient installé le logiciel en cliquant sur les pops-ups. Or je quitte tout de suite les fenêtres.
Mon Antivirus, NOD32, ne détecte rien… J’ai fait un scan avec Spybot, qui a détecté le spyware et l’a nettoyé… Enfin, d’après lui : les pop ups sont revenus au prochain reboot. Et je n’arrive pas à trouver comment ! Il ne démarre ni via la BDR, ni via le menu démarrer :pfff:
J’ai passé un coup de Ewilo Anti-Spyware (AVG Antispyware) qui a fait la même chose que Spybot (le fichier infecté est fccats.dll ou quelque chose comme ça dans System32. A chaque fois que je l’enlève, il revient). J’ai essayé en mode sans echec. Pareil. :grrr:
De plus, les scans en ligne (Panda ActiveScan, Bitdenfender, Kaspersky) détectaient toujours le spyware sans pouvoir l’enlever définitivement.
Ensuite, j’ai trouvé sur le net que WinAntiVirus Pro faisait partie du Trojan Vundo. Tout content, le télécharge le “Vundo Removal Tool” de Symantec, qui me fait un scan pour me dire… Qu’il n’a rien trouvé ! :na: :grrr: :pfff:
Les scans en ligne, eux, le trouvaient bel et bien.
Je ne sais plus vraiment quoi faire, pourtant j’enlève régulièrement les Spyware/Virus/Trojans chez la famille ou les amis : je ne suis donc pas vraiment un newbie
Un résumé de la situation :
AntiVirus et Firewall : NOD32 à jour avec un firewall en Hard (mon routeur Linksys, tous les ports apparaissent comme invisibles d’après les scans de sécurité en ligne).
Antispyware : Spybot Search & Destroy ; AVG AntiSpyware.
Clique sur le menu ‘File’ de KillBox (en haut à gauche) et choisis Paste from clipboard
Sélectionne "Delete on reboot"
Clique sur le bouton : All Files (!important!)
Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
Killbox va te demander "…Would like to Reboot now ?", clique YES et attends le redémarrage.
Si tu ne reçois pas ce message, redémarre le PC normalement.
NOTE: Si tu reçois le message “PendingFileRenameOperations Registry Data has been removed by external process!” et que l’ordinateur ne redémarre pas,
redémarre le manuellement —> Menu Démarrer / arreter / redémarrer l’ordinateur
Telecharge Blacklight (c’est un detecteur de rootkits qui peux notamment trouver l’origine de winantivirus) : https://europe.f-secure.com/exclude/blacklight/index.shtml
prend le premier “download” en haut de la page web. Execute le, accepte les conditions puis > scan. Si il te trouve 4-5 fichiers avec le debut des noms semblables (une suite de lettres aleatoires), clique sur “next” puis sur “rename” pour chaque fichier, confirme le renommage et redemarre ton pc.
Merci à vous pour votre aide, mais j’ai trouvé une autre façon qui a permis d’exterminer, d’éradiquer, et d’anéantiner ce Spyware. Et il n’est pas près de revenir :na:
Pour ceux qui ont le même problème que moi et qui cherchent une solution, voici celle qui a fonctionné pour moi :
J’ai téléchargé le VundoFix removal tool de Atribune : il a fonctionné à merveille, contrairement à celui de Symantec qui n’a rien trouvé. Commencez par faire un scan, il trouvera des fichiers dll si vous êtes infectés. Faites “Remove Vundo” ; votre bureau disparaîtra (pas de panique :super: ) puis il vous proposera de rebooter. Faites-le.
Au redémarrage, vous aurez un message d’erreur du spyware qui ne trouve plus ses fichiers. La victoire est proche, il est en train d’agoniser :sol: :pt1cable:
Passez un coup de CCleaner pour nettoyer la Base de Registre. Cela enlèvera le message d’erreur au démarrage. Si vous voulez, vous pouvez faire un scan complet en ligne pour bien lui montrer que vous êtes toujours le maître de votre PC.
Voilà, Good Bye petit WinAntiVirus Pro :hello:
Le prochain SpyWare qui m’attaque ne tiendra pas aussi longtemps que celui là (30h tout de même !)…