[Rogue]MS Removal Tool / System Tool

Septembre 2016


Problème(s) rencontré(s) par l'internaute


Fausses alertes de sécurité dans l'espoir de vous faire télécharger un faux logiciel antivirus qui n'est rien d'autre qu'une arnaque. En scannant votre machine, il vous fera croire que vous êtes infecté. L'achat du logiciel est proposé pour désinfecter => ne pas saisir vos coordonnées bancaires.

Qui est MS Removal Tool / System Tool?


MS Removal Tool / System Tool fait partie de la famille des rogues

On peut le reconnaître par des lignes logées dans %appdata% dans des rapports comme Hijackthis:
C:\ProgramData\oIn16633kOaBo16633\oIn16633kOaBo16633.exe

Clés de registre touchées:
HKCU\[...]\RunOnce : oIn16633kOaBo16633 (C:\ProgramData\oIn16633kOaBo16633\oIn16633kOaBo16633.exe)

Procédure de désinfection

  • Vous pouvez suivre les vidéos:

MS Removal Tool : http://www.youtube.com/watch?v=Up2WyIThZzY
http://www.youtube.com/watch?v=gLoy0u9yFug
  • Ou suivre la démarche suivante (analogue)

Tuer le processus Rogue et sa clé de registre

  • Téléchargez sur le bureau RogueKiller (par Tigzy) (A partir d'une clé USB si le Rogue empêche l'accès au net) .

    • Quitter tous les programmes en cours
    • Lancer RogueKiller.exe.
    • Lorsque demandé, taper 2 (mode Suppression) et valider
    • Si le programme a été bloqué, renommer en Winlogon.exe et recommencer. Pour renommer, il faut d'abord afficher les extensions: Afficher les extensions. Si les extensions ne sont pas affichées, renommer simplement en winlogon. On peut aussi essayer en renommant firefox.exe , iexplorer.exe ou explorer.exe
    • Vous devez obtenir un rapport analogue:


Processus malicieux: 1
[APPDT/TMP/DESKTOP] oIn16633kOaBo16633.exe -- c:\programdata\oin16633koabo16633\oin16633koabo16633.exe -> KILLED

Entrees de registre: 1
[APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : oIn16633kOaBo16633 (C:\ProgramData\oIn16633kOaBo16633\oIn16633kOaBo16633.exe) -> DELETED

Finaliser la désinfection en supprimant les fichiers infectieux



  • Installez le logiciel.
  • /!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
  • S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
  • Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
  • Lancez MalwareBytes' Anti-Malware, cliquez sur "Exécuter un examen complet" puis "Rechercher", sélectionnez tous vos disques durs et cliquez sur "Lancer l'examen".
  • Une fois l'analyse terminée, cliquez sur "Résultats" puis cliquez sur "Supprimer la sélection" (Si un message demande à redémarrer le PC, acceptez !)


rq: Si cela ne passe pas Démarrer en mode sans echec puis relancez la procédure ci dessus

Antivir Rescue System


Si l'ordinateur n'arrive plus à démarrer vous pouvez tenter de passer Antivir Rescue System qui est un cd-bootable contenant l'antivirus Antivir à créer depuis un autre pc.

Tutoriel

Après le nettoyage

  • Pour vérifier qu'il ne reste rien, il est préférable de passer un antivirus en ligne .


Liens sur l'infection :
  • pas encore de lien


Nous vous conseillons de suivre une désinfection ou vous aider dans la désinfection de votre PC sur le forum Virus / Sécurité. Un helper confirmé pourra vous aider dans les manipulations ou confirmer que vous n'êtes plus touché par le rogue.

A voir également :

Ce document intitulé «  [Rogue]MS Removal Tool / System Tool  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.