Rejoignez
la communauté
Inscrivez-vous
Posez votre question »

Security Tool

Security ToolFRSecurity ToolUSEliminar Security ToolES Security ToolBR
Mai 2013

Types d'infection : Rogue


L'infection

Problème(s) rencontré(s) par l'internaute


Fausses alertes de sécurité dans l'espoir de vous faire télécharger un faux antivirus qui n'est rien d'autre qu'une arnaque. En scannant votre machine, il vous fera croire que tous vos programmes sont infectés. Impossibilité d'exécuter le moindre programme y compris les outils de désinfection. L'achat du logiciel est proposé afin de nettoyer l'ordinateur => ne pas saisir vos coordonnées bancaires.

Comment attraper ce type d'infection


Security Tool fait partie de la famille des rogues, celui-ci s'attrape en téléchargeant des faux codecs dans le but de visionner une vidéo, mais également à travers des cracks piégés et par des exploits sur les sites Web.

On peut reconnaître Security Tool sur Hijackthis par des lignes de ce type : 
O4 - HKLM\..\Run: [61385932] C:\DOCUME~1\ALLUSE~1\APPLIC~1\61385932\61385932.exe                                
O4 - HKCU\..\Run: [79512125] C:\ProgramData\79512125\79512125.exe                               
O4 - HKLM\..\Run: [54264728] C:\ProgramData\54264728\54264728.exe                               
O4 - HKCU\..\Run: [Minisoft] C:\Users\Boudard\AppData\Local\Temp\50549.exe                    
O4 - HKCU\..\RunOnce: [50549] "C:\DOCUME~1\Nom_De_Dession\LOCALS~1\APPLIC~1\50549.exe"


Note: les chiffres sont aléatoires.

Outils visant à neutraliser / éliminer l'infection


RogueKiller (neutraliser les processus responsables de l'infection; Changelog officiel ), Malwarebytes, ComboFix.

Si vous pouvez restaurer votre PC avant le problème tentez cette manipulation car dans beaucoup de cas cela règle le problème de cette infection. Puis, utilisez l'un des logiciels de désinfection proposés pour vérifier.

Procédure de désinfection

Préliminaires

Neutraliser le rogue


Si vous possédez Roguekiller ou si vous pouvez le télécharger : lancez le. Sinon, faites la manipulation ci dessous :

Pour cela il suffit simplement de lancer éxécuter (démarrer > éxécuter) ou bien Win + R et mettre ceci : 
taskkill /f /im 75330930.exe

Note : remplacez la suite de chiffre : 75330930 par celles que la bulle vous affiche en laissant votre souris sur l'icone de "Security Tool" dans la barre des notification

Validez, ainsi tous les effets néfastes sont temporairement neutralisés et vous pouvez continuer la désinfectation.

Désactiver l'UAC sous Vista et 7

  • Vous avez Vista ou Seven, vous devez désactiver l'UAC (User Account Control ou Contrôle des Comptes d'Utilisateurs) le temps de la désinfection.

Désactiver le Tea-timer de Spybot

  • Si vous avez Spybot, il faut désactiver le TeaTimer (le résident de Spybot). Sa désactivation permet de ne pas gêner la désinfection.
    • Démarrez Spybot, cliquez sur "Mode", cochez "Mode avancé".
    • A gauche, cliquez sur "Outils", puis sur "Résident".
    • Décochez la case devant Résident "TeaTimer" puis quittez Spybot.



Les téléchargements sont bloqués

  • Ce rogue étant plutôt "coriace", il est possible qu'il vous empêche de télécharger les outils de désinfection, dans ce cas, il faudrait avoir accès à un ordinateur "sain" afin de télécharger les programmes nécessaires sur un périphérique externe (clé usb, cd/dvd, disque dur externe.) et de les transférer sur la machine infectée afin de les exécuter.

Le bureau est inaccessible

  • Il est également possible que vous n'ayez pas accès à votre bureau. Dans ce cas :
    • Si vous êtes sous XP :
      • Cliquer sur "Démarrer" --> "Exécuter" --> taper %UserProfile%\bureau et presser la touche [Entrée]
    • Sous Vista et Seven :
      • Cliquer sur "Démarrer" --> "Zone de recherche" --> taper %UserProfile%\desktop et presser la touche [Entrée]

Vous pourrez ainsi accéder à votre bureau et lancer les outils de désinfection.

Les logiciels sont bloqués


Ces derniers jours (Fevrier 2012) , l'infection revient avec une nouvelle souche, qui empêche l'exécution des logiciels de sécurité. Il y a plusieurs astuces pour y parvenir (au choix)
  • Faire la désinfection en mode sans échec.
  • Utiliser RogueKiller (de Tigzy), comme indiqué dans la partie "Début de la désinfection" plus bas.

Début de la désinfection

RogueKiller et MalwareBytes' Antimalware


Tutoreil de Roguekiller :


http://www.sur-la-toile.com/discussion-223746-1--RogueKiller-V7-Tutorial-officiel.html



N.B: ne pas redémarrer le pc après avoir fait RogueKiller sans quoi l'infection pourrait se réactiver et passer à Malwarebytes.

  • Installez le logiciel.
  • /!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
  • S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
  • Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
  • Lancez MalwareBytes' Anti-Malware, cliquez sur "Exécuter un examen complet" puis "Rechercher", sélectionnez tous vos disques durs et cliquez sur "Lancer l'examen".
  • Une fois l'analyse terminée, cliquez sur "Résultats" puis cliquez sur "Supprimer la sélection" (Si un message demande à redémarrer le PC, acceptez !)

Combofix


Pour tous les lecteurs :
/!\ Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux! /!\

Très important : Avant d'utiliser Combofix, assurez vous que cet outil est compatible avec votre système d'exploitation

Bien prendre connaissance du tuto officiel sur l'utilisation de l'outil .
  • Faire un clic droit ici.
    • Choisir : "Enregistrer la cible du lien sous..."
    • Choisir le Bureau comme destination.
    • Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
    • Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.
    • !! Désactivez vos défenses ( anti-virus, anti-spyware, etc.. ) et fermez toutes les applications et programmes !!
    • Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista, il faut cliquer droit sur CCM.exe et choisir "Exécuter en tant qu'administrateur").
    • Acceptez le message d'avertissement. Pour XP : acceptez l'installation de la "Console de récupération", c'est impératif !
    • Puis laissez travailler l'outil et ne touchez à rien ! Note : il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laissez le faire . Si l'outil anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", acceptez ...
    • Le rapport sera créé sous la racine : C:\Combofix.txt



Msconfig

  • Vous pouvez également tenter de neutraliser Security tool en passant par msconfig :
    • Redémarrer le pc en mode sans échec,
      • Tapoter la touche F8 ou F5 au démarrage du pc avant l'affichage du logo Windows
      • Au menu, choisir mode sans échec et valider par la touche [Entrée]
    • Lancer msconfig,
      • Cliquer sur le menu Démarrer --> Exécuter, tapez msconfig puis cliquer sur OK.
      • Cliquer sur Démarrage en haut à droite de la fenêtre de msconfig
      • Repérer dans la fenêtre une ligne avec une suite de chiffres --> (ex: 61385932.exe)
      • Décochez cette ligne, cliquez sur OK, puis redémarrer l'ordinateur.
      • Au redémarrage du pc, il est possible qu'une fenêtre s'ouvre pour vous prévenir que le pc est en démarrage sélectif, pour ne plus voir ce message, cochez l'option en bas à gauche.

Security Tool étant pour la plupart du temps accompagné d'autres malwares, passez à la suite de la désinfection (Malwarebytes...)

Antivir Rescue System


Si l'ordinateur n'arrive plus à démarrer vous pouvez tenter de passer Antivir Rescue System qui est un cd-bootable contenant l'antivirus Antivir à créer depuis un autre pc.

Tutoriel

Après le nettoyage

  • Pour vérifier qu'il ne reste rien, il est préférable de faire un scan en ligne de son ordinateur.


Bitdefender en ligne

Kaspersky en ligne

Liens sur l'infection :
http://www.malekal.com/SecurityTool.php
Les faux codecs
Exploits sur les sites Web
http://www.bleepingcomputer.com/virus-removal/remove-security-tool

Nous vous conseillons de suivre une désinfection ou vous aider dans la désinfection de votre PC sur le forum Virus / Sécurité. Un helper confirmé pourra vous aider dans les manipulations ou confirmer que vous n'êtes plus touché par le rogue.

A voir également

Communautés d'assistance et de conseils.

Security Tool
Security Tool
Par deri58 le 23 novembre 2009
Eliminar Security Tool
Eliminar Security Tool
Par Carlos-vialfa le 1 décembre 2009
Security Tool
Security Tool
Par ninha25 le 14 novembre 2010
Publié par Ced_King - Dernière mise à jour par Electricien 69
Ce document intitulé « Security Tool » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Koobface Comment supprimer Brontok ?
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?
Recevez notre newsletter
CCM JDN Droit-Finances Femme Linternaute Copains d'avant Santé-Médecine

Carte de voeux 2013, Cinéma, Décoration, Expeert, Horoscope, Salon littéraire, Programme TV, Cuisine (Recette), Coiffure, Restaurant, Test débit, Voyage, Hayatouki

Koobface
Comment supprimer Brontok ?