Je suis étonné de voir que l’on m’appel de Bouc-Bel-Air, dans les bouches du Rhône pour me demander de supprimer un virus de type Live security Platinum sur un Windows 7 Pro en 64 bits, le client insiste pour que je m’en charge car il a vu sur mon site que j’avais déjà eu à faire -avec succès- à ce virus.

Je lui recommande de chercher un spécialiste PC établi à proximité de sa ville, mais il n’a pas confiance, il ne veut pas non plus d’un formatage réinstallation d’usine : trop de logiciels et réglages à restaurer. Après devis gratuit par téléphone, la personne se déplace sur Brignoles pour m’apporter le Micro : un portable HP Pavilion haut de gamme.

J’essaie en premier lieu de supprimer le virus avec Rogue Killer selon la méthode « suppression-reboot-suppression », mais… Le virus est toujours actif ! Étonnant vu la pugnacité de Rogue Killer. De plus, en session, Windows indique qu’il doit éteindre le PC -à cause d’une erreur système grave- dans un délai d’une minute. Le rapport de Rogue Killer indique qu’il a « vu » le virus, qu’il a supprimé ce qu’il pouvait, mais qu’il n’a pas pu nettoyer un fichier système -particulièrement- vital : services.exe. En effet le fichier Windows Services.exe est patché (modifié) par Live Security Platinum.

Je décide donc d’utiliser un autre antivirus encore plus agressif ; ComboFix. Ce dernier n’est pas à mettre entre toutes les mains car il peut foutre en l’air un Windows pour arriver à son but : supprimer un virus ! Mais ComboFix fait bien son travail : son rapport indique la restauration depuis une sauvegarde système de services.exe mais aussi « afd.sys » (driver lié aux services Windows de connectivité réseau). Après redémarrage, effectivement, les fichiers services.exe et afd.sys sont bien dans leurs états d’origine, et le message de fermeture urgente pour cause d’erreur grave a disparu…Seulement les services Windows liées à la sécurité (Windows update, Pare-feu, Windows defender) ne fonctionnent plus !

Explications: Le virus a modifié les autorisations du registre Windows pour empêcher l’exécution de ces services et a carrément effacé certaines clés de registre.
J’ouvre le registre de Windows avec la commande Regedit et modifie les autorisations des sous-clés contenues dans la clé « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ » en faisant un clic droit sur les sous-clés précitées, puis « autorisations » « ajouter » « nom d’utilisateur de la session en cours » et en cochant « contrôle total ».

Un redémarrage du PC plus tard, je télécharge les fichiers registre sains correspondants aux services Windows de sécurité abimés :

  • http://download.bleepingcomputer.com/win-services/7/MpsSvc.reg
  • http://download.bleepingcomputer.com/win-services/7/BFE.reg
  • http://download.bleepingcomputer.com/win-services/7/BITS.reg
  • http://download.bleepingcomputer.com/win-services/7/wuauserv.reg
  • http://download.bleepingcomputer.com/win-services/7/WinDefend.reg

Et les fusionnent au registre (clic droit dessus puis « Fusionner »).

Finalement il y a un problème: Le pare-feu ne fonctionne toujours pas.  Je télécharge et lance Windows Repair (All in one) depuis le site tweaking.com. Et je clic sur l’onglet « Start Repairs ». Dans la liste, je coche:

 Reset Registry Permissions (Réinitialiser les autorisations de sécurité du registre)
 Repair Windows Firewall (Recréer les clé registre nécessaires au bon fonctionnement du Pare-feu)
 Remove policies set by infections (Supprime les restrictions de type gestionnaire des tâches non autorisé, etc..)
 Set Windows Services To Default Startup (Remet les valeurs par défaut des services Windows)

Après redémarrage, le pare-feu fonctionne à nouveau. D’autres options de réparations sont présentes dans Windows repair de Tweaking.com: J’aurais pu cocher « Repair Windows Updates » par ex., si celui-ci n’avait finalement pas été réparé par mes précédentes manipulations. Je garde quand même une sauvegarde faite avant manips du disque dur pendant encore quelques temps, au cas où.

Lien vers la vidéo du dépannage (Utilisateurs avertis): https://youtu.be/PNhnw65D7DU