Fausses alertes de sécurité dans l'espoir de vous faire télécharger un faux antivirus qui n'est rien d'autre qu'une arnaque. En scannant votre machine, il vous fera croire que tous vos programmes sont infectés. Impossibilité d'exécuter le moindre programme y compris les outils de désinfection. L'achat du logiciel est proposé afin de nettoyer l'ordinateur => ne pas saisir vos coordonnées bancaires.
Comment attraper ce type d'infection
Security Tool fait partie de la famille des rogues, celui-ci s'attrape en téléchargeant des faux codecs dans le but de visionner une vidéo, mais également à travers des cracks piégés et par des exploits sur les sites Web.
On peut reconnaître Security Tool sur Hijackthis par des lignes de ce type :
Si vous pouvez restaurer votre PC avant le problème tentez cette manipulation car dans beaucoup de cas cela règle le problème de cette infection. Puis, utilisez l'un des logiciels de désinfection proposés pour vérifier.
Procédure de désinfection
Préliminaires
Neutraliser le rogue
Si vous possédez Roguekiller ou si vous pouvez le télécharger : lancez le. Sinon, faites la manipulation ci dessous :
Pour cela il suffit simplement de lancer éxécuter (démarrer > éxécuter) ou bien Win + R et mettre ceci :
taskkill /f /im 75330930.exe
Note : remplacez la suite de chiffre : 75330930 par celles que la bulle vous affiche en laissant votre souris sur l'icone de "Security Tool" dans la barre des notification
Validez, ainsi tous les effets néfastes sont temporairement neutralisés et vous pouvez continuer la désinfectation.
Désactiver l'UAC sous Vista et 7
Vous avez Vista ou Seven, vous devez désactiver l'UAC (User Account Control ou Contrôle des Comptes d'Utilisateurs) le temps de la désinfection.
Désactiver le Tea-timer de Spybot
Si vous avez Spybot, il faut désactiver le TeaTimer (le résident de Spybot). Sa désactivation permet de ne pas gêner la désinfection.
Démarrez Spybot, cliquez sur "Mode", cochez "Mode avancé".
A gauche, cliquez sur "Outils", puis sur "Résident".
Décochez la case devant Résident "TeaTimer" puis quittez Spybot.
Les téléchargements sont bloqués
Ce rogue étant plutôt "coriace", il est possible qu'il vous empêche de télécharger les outils de désinfection, dans ce cas, il faudrait avoir accès à un ordinateur "sain" afin de télécharger les programmes nécessaires sur un périphérique externe (clé usb, cd/dvd, disque dur externe.) et de les transférer sur la machine infectée afin de les exécuter.
Le bureau est inaccessible
Il est également possible que vous n'ayez pas accès à votre bureau. Dans ce cas :
Si vous êtes sous XP :
Cliquer sur "Démarrer" --> "Exécuter" --> taper %UserProfile%\bureau et presser la touche [Entrée]
Sous Vista et Seven :
Cliquer sur "Démarrer" --> "Zone de recherche" --> taper %UserProfile%\desktop et presser la touche [Entrée]
Vous pourrez ainsi accéder à votre bureau et lancer les outils de désinfection.
Les logiciels sont bloqués
Ces derniers jours (septembre/octobre 2010) , l'infection revient avec une nouvelle souche, qui empêche l'exécution des logiciels de sécurité. Il y a plusieurs astuces pour y parvenir (au choix)
Utiliser RogueKiller (de Tigzy), comme indiqué dans la partie "Début de la désinfection" plus bas. Voici une vidéo de RogueKiller en action sur Security Tools :
Sous Vista/Seven, clique droit -> lancer en tant qu'administrateur
Quitte tous tes programmes en cours
Lance le.
Lorsque demandé, tape 1 et valide
Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
Si une clé de registre a été détectée, si vous êtes sûr qu'elle appartient au Rogue, passez le mode 2. Si vous ne savez pas, faites vous aider. Dans tous les cas, les processus infectieux a été tué, vous pouvez désinfecter tranquillement
Le rogue est neutralisé pour la suite de la désinfection (mais il faut ensuite l'éliminer) Si vous redémarrez, la fenêtre de Security Tool réapparaîtra
Sous Vista/Seven, clique droit -> lancer en tant qu'administrateur
Quitte tous tes programmes en cours
Lance le.
Lorsque demandé, tape 1 et valide
Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
Si une clé de registre a été détectée, si vous êtes sûr qu'elle appartient au Rogue, passez le mode 2. Si vous ne savez pas, faites vous aider. Dans tous les cas, les processus infectieux a été tué, vous pouvez désinfecter tranquillement
N.B: ne pas redémarrer le pc après avoir fait RogueKiller sans quoi l'infection pourrait se réactiver et passer à Malwarebytes.
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
Lancez MalwareBytes' Anti-Malware, cliquez sur "Exécuter un examen complet" puis "Rechercher", sélectionnez tous vos disques durs et cliquez sur "Lancer l'examen".
Une fois l'analyse terminée, cliquez sur "Résultats" puis cliquez sur "Supprimer la sélection" (Si un message demande à redémarrer le PC, acceptez !)
Combofix
Pour tous les lecteurs : /!\ Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux! /!\
Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.
!!Désactivez vos défenses ( anti-virus, anti-spyware, etc.. ) et fermez toutes les applications et programmes !!
Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista, il faut cliquer droit sur CCM.exe et choisir "Exécuter en tant qu'administrateur").
Acceptez le message d'avertissement. Pour XP : acceptez l'installation de la "Console de récupération", c'est impératif !
Puis laissez travailler l'outil et ne touchez à rien ! Note : il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laissez le faire . Si l'outil anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", acceptez ...
Le rapport sera créé sous la racine : C:\Combofix.txt
Msconfig
Vous pouvez également tenter de neutraliser Security tool en passant par msconfig :
Tapoter la touche F8 ou F5 au démarrage du pc avant l'affichage du logo Windows
Au menu, choisir mode sans échec et valider par la touche [Entrée]
Lancer msconfig,
Cliquer sur le menu Démarrer --> Exécuter, tapez msconfig puis cliquer sur OK.
Cliquer sur Démarrage en haut à droite de la fenêtre de msconfig
Repérer dans la fenêtre une ligne avec une suite de chiffres --> (ex: 61385932.exe)
Décochez cette ligne, cliquez sur OK, puis redémarrer l'ordinateur.
Au redémarrage du pc, il est possible qu'une fenêtre s'ouvre pour vous prévenir que le pc est en démarrage sélectif, pour ne plus voir ce message, cochez l'option en bas à gauche.
Security Tool étant pour la plupart du temps accompagné d'autres malwares, passez à la suite de la désinfection (Malwarebytes...)
Antivir Rescue System
Si l'ordinateur n'arrive plus à démarrer vous pouvez tenter de passer Antivir Rescue System qui est un cd-bootable contenant l'antivirus Antivir à créer depuis un autre pc.
Nous vous conseillons de suivre une désinfection ou vous aider dans la désinfection de votre PC sur le forum Virus / Sécurité. Un helper confirmé pourra vous aider dans les manipulations ou confirmer que vous n'êtes plus touché par le rogue.
Publié par Ced_King - Dernière mise à jour le 27 avril 2011 à 14:16 parCed_King
Ce document intitulé « Security Tool » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Types d'infection : Rogue
