Le problème, c’est que la bestiole démarre avant l’anti-virus et celui-ci ne peut pas virer un fichier locké par un process en mémoire.
Il faut passer par une opération manuelle en éditant la base de registre de Windows, une opération à mener avec délicatesse pour un débutant.
En étant connecté sous un compte administrateur:
Lancer REGEDIT.EXE (par le menu Démarrer / Exécuter)
Ca ouvre une fenêtre en 2 parties: une aborescence sur la gauche (les clés de registre) et une autre sur la droite (les valeurs de clés).
On va commencer par faire une sauvegarde du registre, par précaution.
Se positionner sur Poste de travail puis menu Fichier / Exporter ; mettre un nom de fichier .reg et vérifier que la case “Tout” est bien cochée ; puis OK.
Une faut la sauvegarde effectué, on peut s’attaquer au monstre.
L’arborescence de gauche se déplie comme avec l’explorateur de fichiers de windows.
Aller jusqu’à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon et vérifier la clé Shell dans la zone de droite. Il ne doit y figurer que “Explorer.exe”. S’il y a en plus un xxxxx.exe, alors edite la clé Shell en double-cliquant dessus et efface le xxxxx.exe pour ne laisser que “Explorer.exe”.
Aller jusqu’à la clé de registre HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Tu vas sans doute trouver dans la partie droite, une clé suspecte dont le nom est xxxxx.exe et C:\windows\system32\xxxxxx.exe dans la colonne donnée (ça peut être quelque chose comme msmsgs.exe ou bdfnnclq.exe)
Si tu trouves cela alors tu sélectionnes la clé suspecte (toujours dans la partie droite, dans la colonne Nom), clic droit, Supprimer.
Idem pour la clé de registre HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Cette fois, il est possible que la clé suspecte (xxxxx.exe) ait pour valeur quelque chose comme <User>\Local Settings\Application Data\xxxxxx.exe
Si tu trouves cela alors tu sélectionnes la clé suspecte (toujours dans la partie droite), clic droit, Supprimer.
Une fois ces opérations terminées, tu quittes REGEDIT (Fichier/Quitter) et tu relances ton anti-virus après avoir rebooté en mode sans échec.
En mode sans échec, vérifie que tu n’as pas dans c:\windows\system32 des fichiers tels que:
- msmsgs.exe
- ld100.tmp
- regperf.exe
Tu peux aussi essayer de virer le fichier bdfnnclq.exe. Il est possible qu’il soit caché. Pour le voir, modifier les options de l’explorateur de fichiers : Outils/Option des dossiers/ Afichage / Afficher les fichiers et dossiers cachés.
Bon courage.