On continue avec les Trojan Winlock pour pousser des arnaques de support téléphonique.
Après Virus : Windows a détecté des activités suspectes, une nouvelle variante, un peu moins bien foutu et sophistiqué.
Là encore, le but est de bloquer l’accès à Windows et vous demander un code de déblocage pour vous obliger à être mis en relation avec une hotline téléphonique.
Le but du trojan est de promouvoir les arnaques de support téléphoniques.
Table des matières
Virus : Votre ordinateur a été bloqué par votre antivirus
Je vous fais grâce de l’historique sur les Trojan Winlock, vous pouvez lire celle contenue dans la variante précédente.
Au premier abord, on constate déjà que la traduction est mal faite avec beaucoup de fautes et du texte en anglais.
Le principe reste le même, la page se charge au démarrage de Windows et ne vous donne pas la main.
Le message tente de se faire passer pour votre antivirus pour vous protéger d’un éventuel piratage :
Votre ordinateur a été bloqué par votr antivirus pour des raisons de sécurité Un logiciel malveillant a été detecté Vos données personnelles sont en danger de piratage. Redémarrez votre ordinateur si l'erreur persiste, contacter notre assistance technique. A problem has been detected and Windows has been shut down after 20 minits to prevent damage to your computer Pour plus d'informations veuillez contacter notre assistance technique 0183753265
Bien entendu, le but est de vous mettre en relation avec une hotline téléphonique qui va vous vendre toute sorte de chose.
Comment supprimer le Trojan Winlock
Ce trojan ne bloque pas le gestionnaire de tâches de Windows.
Vous pouvez donc ouvrir ce dernier avec la combinaison de touches CTRL+ALT+Suppr
Cherchez ensuite dans les processus sysdll et systemdll et tuer ces deux processus.
Cela va donc fermer la page de blocage de Windows.
Il faut ensuite relancer explorer.exe afin de récupérer le bureau.
Toujours depuis le gestionnaîre de tâches de Windows, cliquez sur le menu fichier puis nouvelle tâche.
Saisissez explorer.exe puis cliquez sur OK.
Le bureau s’ouvre alors, il ne reste plus qu’à supprimer le trojan.
Depuis la barre d’adresse de l’explorateur de fichiers de Windows, saisissez shell:startup puis OK.
Supprimez les deux fichiers sysdll et systemdll afin de vous débarrasser du trojan Winlock.
Comme vous pouvez le constater, ce trojan se charge par une clé Shell qui est lié à la session utilisateur.
Ainsi, si vous avez une autre session utilisateur en votre possession, vous devriez toujours avoir la main dessus.
Cela permet de faire une analyse Malwarebytes Anti-Malware depuis celle-ci au cas où.
La suppression des fichiers du ransomware peut aussi être effectuée en mode sans échec, le blocage par le trojan ne sera pas présent : Comment démarrer Windows en mode sans échec
Les détections du ce cheval de troie au moment où ont été rédigées ces lignes :
Autres liens
La leçon du jour, arrêtez de télécharger des cracks, si vous ne savez pas les choisir.
A lire ce article sur les virus et trojans : Comment les virus informatiques sont distribués
et pour sécuriser Windows : Comment sécuriser mon Windows