Patch pour supprimer le virus Advanced Virus Remover

Advanced Virus Remover (PAVRM.exe) est une rogue, c'est-à-dire, un malware qui prétends être un Antivirus alors qu’en réalité, c’est un virus qui essaye de duper ses victimes en avertissant par une fausse alerte qu’il existe des malwares dans la machine infectée. Ce qui est vrai d’ailleur, il existe réellement un virus dans votre système, mais le virus, ce n’est pas ce qu’il vous montre, c’est lui-même le virus. Supprimez-le au plus vite de votre système.

Ne jamais faire confiance à un programme que vous n’avez pas installé. Moi, j’ai eu ce virus en lançant un petit le logiciel téléchargé sur un site pirate.

Après, quand il arrive dans votre système, le malware vous invite à acheter une version complète, qui n’existe même pas, parce qu’il n’est qu’une version d’essai, pour pouvoir supprimer les pseudos virus de votre système. Ne jamais faire confiance à ce type de programme, je ne comprends pas pourquoi les polices du net ne lèvent pas le petit doit alors que ce nouveau style d’arnaque existe depuis des années.

Les détails de ce virus sont affichés en bas.

Pour supprimer ce virus :

• Cliquez sur le bouton « Dowload » en bas
• Mettez et décompressez-le sur votre bureau
• Lancez-le patch et cliquez sur le bouton « delete »
• Vous n’avez rien d’autre à faire, le virus est supprimé de votre système.

Après avoir lancé le patch, votre page d’accueil d’Internet Explorer devient search.net-studio.org, c’est fait exprès pour effacer toute trace du virus. Vous pouvez toujours restaurer ce paramètre dans l’option d’Internet explorer.

Alias du virus

Trojan-Dropper.Win32.Agent.bgbo [Kaspersky Lab]

Les liens créés par le virus

<DesktopDir>\Advanced Virus Remover.lnk
<StartMenu>\Advanced Virus Remover.lnk
<Démarrage>\scandisk.lnk (qui pointe évidement vers le virus)

Les fichiers et dossiers du virus

<ProgramFiles>\AdvancedVirusRemover\

<System>\Install.txt
<System>\A.tmp
<System>\B.tmp
<System>\BtwSrv.dll
<System>\critical_warning.html
<System>\FastNetSrv.ex
<System>\FInstall.sys
<System>\lsm32.sys
<System>\winhelper.dll
<System>\winupdate.exe
<System>\wmdtc.exe
<System>\41.exe
<System>\calc.dll

<Windows>\Install.txt
<Windows>\Temp\mta13187.dll
<Windows>\Temp\x1c122182.dll
<Windows>\Temp\VRT5.tmp
<Windows>\Temp\VRT6.tmp
<Windows>\Temp\VRT8.tmp

<Startup>\scandisk.dll
<ProgramFiles>\AdvancedVirusRemover\PAVRM.exe

Registres

Les valeurs dans le registre modifié par le virus est très long mais on va juste voir une partie de la liste :

• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop]
  • NoChangingWallpaper = 0x00000001

• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
  • NoSetActiveDesktop = 0x00000001
  • NoActiveDesktopChanges = 0x00000001

• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  • calc = "rundll32.exe <System>\calc.dll,_IWMPEvents@0"
  • winupdate.exe = "<System>\winupdate.exe"
  • UserFaultCheck = "<System>\dumprep 0 -u"

ATTENTION

Ce virus supprime les clés et les valeurs de "SafeBoot" depuis "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control" pour que vous ne puissez plus entrer en mode sans échec.

Ce virus bloque aussi les logiciels liés à la sécurité en modifiant les paramètres de pare-feu et en désactivant les services de sécurité, tels que Windows Update, Avast, Norton Autoprotect, Avira, Kaspersky Anti-Virus, etc