Guide et outils pour supprimer les virus RogueWare ou Ransomware (tels que le virus Cryptolocker ou la police postale) qui prennent votre ordinateur en otage avec de fausses alarmes, bloquant tout.

Mon père, qui n’était pas du tout un expert en informatique, mais qui n’était même pas trop mal équipé, a un jour allumé l’ordinateur et a eu une mauvaise surprise.

L’écran du bureau était devenu tout noir, les icônes avaient presque toutes disparu, le menu de démarrage à moitié vide, le dossier de documents était également vide.

Sur le bureau apparaît la fenêtre dérangeante avec un message très clair : tous les fichiers dans les documents ont été cryptés et pour les lire à nouveau je dois payer 500 euros et recevoir la clé de décryptage.

C’est le virus Cryptolocker, qui bloque et prend en otage les fichiers de votre PC.

Le guide qui suit va certainement à supprimer ce virus et s’applique également à d’autres logiciels malveillants célèbres qui prennent en otage le PC et les fichiers en son sein tels que ceux de la Police Postale, Cryptolocker ou faux antivirus ou programmes tels que S.M.A.R.T Check Disk Data Recovery.

Ces Malware Ransomware ont un effet perturbateur, du moins à première vue : tout disparaît sur le PC et presque rien ne peut être fait sauf pour surfer sur Internet ; c’est dommage que la navigation soit toujours redirigée vers des sites qui sont évidemment nuisibles.

C’est le programme typique faux qui prend la machine en otage et vise à faire payer pour l’achat du logiciel.

Voici un exemple de virus Rougueware, expliqué dans le guide sur les types de logiciels malveillants et les différences entre chevaux de Troie, vers et virus, qui peut se présenter comme un faux antivirus ou comme un outil pour optimiser et réparer votre disque dur.

Aucun des problèmes rapportés n’est réel, ils ne servent qu’à effrayer l’utilisateur et à l’amener à acheter l’antivirus SMART, volant ainsi les informations de la carte bancaire.

L’antivirus normal installé sur l’ordinateur tente de nettoyer la machine des infections mais échoue.

Le nettoyage échoue en fait lorsque vous redémarrez Windows car le rootkit recrée automatiquement tous les fichiers que l’antivirus a supprimés.

Puisqu’il n’y a pas d’outil de suppression spécifique pour presque tous ces logiciels malveillants et qu’il n’y en a certainement pas pour le virus SMART, je recommande de lire ou de conserver ce guide qui contient des liens pour télécharger divers outils essentiels pour libérer le PC de ceci mais aussi de nombreux autres logiciels malveillants qui semblent être immunisés contre des analyses d’antivirus normal.

Voir aussi :  Maintenance du système avec Windows Winutilities Outils de nettoyage et de réparation pour PC

Pour supprimer un virus de ce type, qui est basé sur un programme visible, il y a trois étapes à faire :

Arrêter le programme malveillant et tout processus s’y rapportant ;

Scanner avec un antimalware Scanner avec un antimalware

Supprimer les effets du virus (pas toujours possible).

Tout d’abord, vous devez vous rassurer un instant : en aucun cas vous ne devez acheter ce faux antivirus qui retient votre PC en otage et, surtout, aucun fichier n’a été supprimé.

Les fichiers ne sont plus visibles car ils ont été cachés par le virus.

Les étapes de suppression du virus SMART, en plus de résoudre le problème proprement, sont également très intéressantes pour apprendre à raisonner avec les logiciels malveillants.

1) Retirez toutes les disquettes, CD et DVD, et redémarrez l’ordinateur en mode réseau sans risque en appuyant sur F8 dans l’écran noir initial, avant que le logo Windows apparaisse.

Dans l’écran des options du menu de démarrage, utilisez les touches fléchées pour mettre en surbrillance le mode sans échec du réseau, puis appuyez sur ENTER.

Connectez-vous ensuite à Windows avec un compte d’utilisateur administrateur.

2) Supprimer (le cas échéant) le serveur SMART proxy.

Le virus SMART peut ajouter un serveur proxy qui empêche l’utilisateur d’accéder à Internet ou de surfer sans redirection.

Pour supprimer le proxy, ouvrez Internet Explorer, entrez les options Internet (Iin IE9 à partir de l’icône de vitesse en haut à droite) et, dans l’onglet Connexions, appuyez sur la touche LAN Settings.

Là où le serveur proxy est écrit, vérifiez que le carré n’est pas marqué et supprimez tout ce qui est écrit dans le champ adresse.

3) Arrêter le virus c’est-à-dire fermer tout processus lié au malware ou Cryptolocker.

Pour arrêter l’exécution du malware, allez sur Internet depuis le mode temporaire en réseau et téléchargez un outil appelé RKill of Bleeping Computer.

RKill est un programme qui essaie d’arrêter tous les processus malveillants que l’antivirus ne peut arrêter.

Cet outil important est valable pour tout type d’infection et est comme un gestionnaire de tâches automatique qui reconnaît automatiquement tout processus malveillant ou au moins douteux et non lié à Windows, pour y mettre fin.

Voir aussi :  Suppression manuelle des virus pour supprimer les fichiers infectés

Avec RKill, vous pouvez être sûr que le virus n’est plus en cours d’exécution (il est toujours dans votre ordinateur donc vous n’avez pas à redémarrer votre PC maintenant).

Pour utiliser RKill, double-cliquez simplement sur l’icône du fichier exécutable.

Si le SMART Checker affiche une erreur liée à RKill, ignorez-la en laissant l’avertissement sur l’écran et exécutez RKill à nouveau.

Si vous ne pouvez pas exécuter RKill parce qu’il est bloqué par le virus, vous pouvez télécharger une autre version avec un nom différent, à partir de la page de téléchargement de l’ordinateur.

Lorsque RKill a terminé sa tâche, un fichier texte s’affiche indiquant le succès de l’opération.

4) Sans redémarrer votre PC et rester en mode sans échec, vous pouvez rouvrir votre navigateur et télécharger Malware Bytes Antimalware version gratuite .

Suivez la procédure d’installation et de mise à jour de l’antimalware sans effectuer de modifications, en refusant la période d’essai de la version complète et sans jamais redémarrer le PC, même si nécessaire.

A partir des octets malveillants, dans l’onglet SCanner, exécutez l’analyse complète de l’ordinateur (pas l’analyse rapide).

Attendez ensuite que l’analyse soit terminée, appuyez sur OK pour vous assurer que tous les virus trouvés sont sélectionnés avec la croix et supprimez tout.

Malwarebytes Anti-Malware vous demandera maintenant de redémarrer votre PC pour nettoyer l’infection et, cette fois, d’accepter la demande.

5) L’ordinateur peut maintenant être utilisé en mode normal et devrait être exempt de virus même si les icônes et les fichiers ne sont pas encore visibles.

Il est cependant fortement recommandé de faire un contrôle et de vérifier si le PC est vraiment exempt de SMART VIrus, en téléchargeant l’antivirus Hitman Pro.

Hitman Pro peut être démarré en mode forcé (Force Breach) qui met fin à tous les processus actifs, y compris les processus malveillants.

Exécutez ensuite l’analyse sur le disque et, si d’autres virus sont détectés, supprimez-les en activant la licence gratuite de 30 jours et en redémarrant l’ordinateur si nécessaire.

6) Ramener à la lumière les fichiers et dossiers qui ont disparu.

Le virus SMART modifie le système de fichiers pour que tous les fichiers et dossiers soient cachés.

Voir aussi :  HiJackCette et les protections anti-rootkit et les menaces cachées sur Windows

Pour restaurer les paramètres par défaut de Windows, et éliminer les effets du virus, il existe deux petits outils alternatifs.

Vous pouvez télécharger Unhide ou Tweaking.com Unhide Non System Files pour rendre tous les fichiers et dossiers de nouveau visibles.

Si le premier ne découvre pas tous les fichiers, lancez le second également.

Ces outils sont simples et automatiques, la seule chose à faire et à lancer.

En ce qui concerne Cryptolocker, les fichiers rendus illisibles ne pourront plus être récupérés.

Reportez-vous à cet article pour savoir comment récupérer les fichiers verrouillés par Cryptolocker sans payer rachat.

7) Restaurer les raccourcis et supprimer toutes les clés de registre restantes créées par le virus.

SMART Virus a déplacé les fichiers de raccourcis vers le dossier Internet temporaire et a ajouté quelques clés de registre nuisibles à l’installation de Windows et a changé l’arrière-plan du bureau.

Pour restaurer les fichiers et tout récupérer comme avant, vous devez enfin télécharger RogueKiller, le meilleur programme pour supprimer les faux antivirus.

Même avec RogueKiller, lancez l’analyse, puis supprimez les clés de registre malveillantes trouvées, restaurez les raccourcis (Correction des raccourcis) et effectuez toutes les autres actions de nettoyage.

Si l’écran du bureau Windows reste noir, allez dans les paramètres de l’écran à partir du Panneau de configuration et sélectionnez le thème par défaut ou un autre de votre choix.

8) Restaurer les liens verrouillés sur la barre des tâches et autres icônes manquantes.

Ce terrible virus SMART a déplacé les éléments de la barre des tâches et d’autres icônes et raccourcis du menu Démarrer dans un dossier temporaire appelé’smtmp’.

Pour les ramener à leur position d’origine, (afin que vous puissiez trouver tous les programmes) téléchargez et exécutez l’outil Réparer les icônes de menu de démarrage manquantes supprimées par les infections.

C’est tout alors, récapitulant : Safe Mode – Remove Proxy – Rkill to stop the virus – Malware Bytes to do scanning and cleaning – Hitman Pro for a confirmation check – Unhide to reappear files and folders from Windows – RogueKiller to delete residues and restore shortcuts and desktop – Repair Missing Icons to get back the programs visible in the Start menu.

En espérant que cela ne vous servira jamais, je vous recommande de conserver ce guide afin d’être toujours prêt quand vous en aurez besoin.