[Doc] Comment se débarrasser de security tool ?

[thorgal]

Bonsoir,

Depuis quelques temps, nous pouvons nous rendre compte que beaucoup de pc sont infectés par le rogue security tool. Une voisine a été confrontée à cette infection et a fait appel à moi pour résoudre son problème.
Le pc était bloqué par l'infection. Quelque soit le logiciel lancé par mes soins, celui-ci était automatiquement bloqué. Que ce soit un logiciel ou une application Windows. Aussi, le fameux Crt + Alt + Supp ne fonctionnait même plus.
Voici la procédure que j'ai appliquée pour me débarrasser de cette infection :

1. Démarrage du pc en mode sans échec :
   Tapoter la touche F5 ou F8 au démarrage du pc avant l'affichage du logo de Windows. Au menu, choisir mode sans échec et valider par la touche Entrée.
2. Taper msconfig dans Démarrer, Exécuter... Ouvrir l'onglet Démarrage.
   Repérer une ligne avec un exécutable qui possède un nom avec une suite de chiffres de ce type : 61385932.exe.
   Décocher cette ligne pour la désactiver du démarrage.
3. Re-démarrer le pc en mode normal.
   Le pc doit redémarrer comme s'il n'était pas infecté. Dans le pire des cas, il doit présenter un ralentissement dans son fonctionnement.
   Il faut supprimer l'exécutable qui se trouve en suivant ce chemin : C:\Users\"nom de la session"\AppData\Local\Temp\"une série de chiffres".exe.
   Pour voir ce fichier, il faudra sans doute activer l'option d'affichage des dossiers, Afficher les fichiers et dossiers cachés dans la rubrique Fichiers et dossiers cachés.
4. A partir de maintenant, la procédure normale de désinfection à l'aide de MalwareBytes' Anti-Malware peut être lancée.

Télécharger MalwareByte's Anti-Malware sur le Bureau.
L'installer en double-cliquant sur le fichier Download_mbam-setup.exe. Une fois l'installation et la mise à jour effectuées :​

• Exécuter MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionner Exécuter un examen complet.
• Afin de lancer la recherche, cliquer sur Rechercher.
• Une fois le scan terminé, une fenêtre s'ouvre, cliquer sur OK. Deux possibilités s'offrent alors :
  • Si le programme n'a rien trouvé, appuyer sur OK. Un rapport va apparaître, le fermer.
  • Si des infections sont présentes, cliquer sur Afficher les résultats puis sur Supprimer la sélection. Enregistrer le rapport sur le Bureau.
• Faire redémarrer l'ordinateur normalement et poster le rapport dans un forum d'entraide tel que celui-ci.

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepter en cliquant sur Ok.


Si cela peut aider quelques personnes...

 

[CrashBurn]

ouce1-1a0b: Bien joué! Je sauvegarde ce doc en PDF, ça sert toujours.

 

[DRONE]

Security Tool

Types d'infection : Rogue

• Problème(s) rencontré(s) par l'internaute
• Comment attraper ce type d'infection
• Outils visant à neutraliser / éliminer l'infection
• Préliminaires
  • Désactiver l'UAC sous Vista et 7
  • Désactiver le Tea-timer de Spybot
• Les téléchargements sont bloqués
• Le bureau est inaccessible
• Les logiciels sont bloqués
• Début de la désinfection
  • RogueKiller et MalwareBytes' Antimalware
  • Combofix
  • Msconfig
  • Antivir Rescue System
• Après le nettoyage

L'infection

Problème(s) rencontré(s) par l'internaute


Fausses alertes de sécurité dans l'espoir de vous faire télécharger un faux antivirus qui n'est rien d'autre qu'une arnaque. En scannant votre machine, il vous fera croire que tous vos programmes sont infectés. Impossibilité d'exécuter le moindre programme y compris les outils de désinfection. L'achat du logiciel est proposé afin de nettoyer l'ordinateur => ne pas saisir vos coordonnées bancaires.
Comment attraper ce type d'infection


Security Tool fait partie de la famille des rogues, celui-ci s'attrape en téléchargeant des faux codecs dans le but de visionner une vidéo pornographique, mais également à travers des cracks piégés et par des exploits sur les sites Web.
On peut reconnaître Security Tool sur Hijackthis par ces exemples de lignes :

O4 - HKLM\..\Run: [61385932] C:\DOCUME~1\ALLUSE~1\APPLIC~1\61385932\61385932.exe O4 - HKCU\..\Run: [79512125] C:\ProgramData\79512125\79512125.exe O4 - HKLM\..\Run: [54264728] C:\ProgramData\54264728\54264728.exe O4 - HKCU\..\Run: [Minisoft] C:\Users\Boudard\AppData\Local\Temp\50549.exe O4 - HKCU\..\RunOnce: [50549] "C:\DOCUME~1\Nom_De_Dession\LOCALS~1\APPLIC~1\50549.exe"

Note: les chiffres sont aléatoires.
Outils visant à neutraliser / éliminer l'infection


RogueKiller.exe (neutraliser les processus responsables de l'infection; Changelog officiel ), Malwarebytes', ComboFix.

Si vous pouvez restaurer votre PC avant le problème tentez cette manipulation car dans beaucoup de cas cela règle le problème de cette infection. Puis, passez pour vérifier, l'un des logiciels de désinfection proposés.
Procédure de désinfection

Préliminaires

Désactiver l'UAC sous Vista et 7

• Vous avez Vista ou Seven, vous devez désactiver l'UAC (User Account Control ou Contrôle des Comptes d'Utilisateurs) le temps de la désinfection.

Désactiver le Tea-timer de Spybot

• Si vous avez Spybot, il faut désactiver le TeaTimer (le résident de Spybot). Sa désactivation permet de ne pas gêner la désinfection.
  • Démarrez Spybot, cliquez sur "Mode", cochez "Mode avancé".
  • A gauche, cliquez sur "Outils", puis sur "Résident".
  • Décochez la case devant Résident "TeaTimer" puis quittez Spybot.

<center>

</center>
Les téléchargements sont bloqués

• Ce rogue étant plutôt "coriace", il est possible qu'il vous empêche de télécharger les outils de désinfection, dans ce cas, il faudrait avoir accès à un ordinateur "sain" afin de télécharger les programmes nécessaires sur un périphérique externe (clé usb, cd/dvd, disque dur externe.) et de les transférer sur la machine infectée afin de les exécuter.

Le bureau est inaccessible

• Il est également possible que vous n'ayez pas accès à votre bureau. Dans ce cas :
  • Si vous êtes sous XP :
    • Cliquer sur "Démarrer" --> "Exécuter" --> taper %UserProfile%\bureau et presser la touche [Entrée]
  • Sous Vista et Seven :
    • Cliquer sur "Démarrer" --> "Zone de recherche" --> taper %UserProfile%\desktop et presser la touche [Entrée]

Vous pourrez ainsi accéder à votre bureau et lancer les outils de désinfection.
Les logiciels sont bloqués


Ces derniers jours (septembre 2010) , l'infection revient avec une nouvelle souche, qui empêche l'exécution des logiciels de sécurité. Il y a plusieurs astuces pour y parvenir (Au choix)

• Faire la désinfection en mode sans échec
• Utiliser RogueKiller (comme indiqué dans la partie "Début de la désinfection" plus bas)
  • Télécharge sur le bureau RogueKiller
  • Lance le.
  • Le rogue est neutralisé pour la suite de la désinfection (mais il faut ensuite l'éliminer) Si vous redémarrez, la fenêtre de Security Tool réapparaîtra
• Faire la manipulation suivante:
  • Télécharger ceci sur le bureau : Firefox.exe. Il s'agit du gestionnaire de tâche renommé en Firefox.exe afin d'assurer son bon fonctionnement.
  • Le lancer
  • Dans la liste des processus, trouver un processus avec une suite de chiffres
  • Cliquer droit dessus, "Fin de tâche"
  • Le rogue est neutralisé pour la suite de la désinfection (mais il faut ensuite l'éliminer) Si vous redémarrez, la fenêtre de Security Tool réapparaîtra.

Début de la désinfection

RogueKiller et MalwareBytes' Antimalware

• Téléchargez RogueKiller
• Téléchargez RogueKiller sur votre bureau.
• Lancez-le.
• Un rapport (RKreport.txt) se créé normalement à côté de l'exécutable.

N.B: ne pas redémarrer le pc après avoir fait RogueKiller sans quoi l'infection pourrait se réactiver et passer à malwarebyte.

• Téléchargez MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre bureau.

<center>

</center>

• Installez le logiciel.
• /!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
• S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
• Faites les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
• Lancez MalwareBytes' Anti-Malware, cliquez sur "Exécuter un examen complet" puis "Rechercher", sélectionnez tous vos disques durs et cliquez sur "Lancer l'examen".
• Une fois l'analyse terminée, cliquez sur "Résultats" puis cliquez sur "Supprimer la sélection" (Si un message demande à redémarrer le PC, acceptez !)

Combofix


Pour tous les lecteurs :
/!\ Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux! /!\

Très important : Avant d'utiliser Combofix, assurez vous que cet ouil est Compatible avec votre système d'exploitation

Bien prendre connaissance du tuto officiel sur l'utilisation de l'outil .

• Faire un clic droit ici.
  • Choisir : "Enregistrer la cible du lien sous..."
  • Choisir le Bureau comme destination.
  • Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
  • Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.
  • !! Désactivez vos défenses ( anti-virus, anti-spyware, etc.. ) et fermez toutes les applications et programmes !!
  • Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista, il faut cliquer droit sur CCM.exe et choisir "Exécuter en tant qu'administrateur").
  • Acceptez le message d'avertissement. Pour XP : acceptez l'installation de la "Console de récupération", c'est impératif !
  • Puis laissez travailler l'outil et ne touchez à rien ! Note : il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laissez le faire . Si l'outil anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", acceptez ...
  • Le rapport sera créé sous la racine : C:\Combofix.txt

<center>

</center>
Msconfig

• Vous pouvez également tenter de neutraliser Security tool en passant par msconfig :
  • Redémarrer le pc en mode sans échec,
    • Tapoter la touche F8 ou F5 au démarrage du pc avant l'affichage du logo Windows
    • Au menu, choisir mode sans échec et valider par la touche [Entrée]
  • Lancer msconfig,
    • Cliquer sur le menu Démarrer --> Exécuter, tapez msconfig puis cliquer sur OK.
    • Cliquer sur Démarrage en haut à droite de la fenêtre de msconfig
    • Repérer dans la fenêtre une ligne avec une suite de chiffres --> (ex: 61385932.exe)
    • Décochez cette ligne, cliquez sur OK, puis redémarrer l'ordinateur.
    • Au redémarrage du pc, il est possible qu'une fenêtre s'ouvre pour vous prévenir que le pc est en démarrage sélectif, pour ne plus voir ce message, cochez l'option en bas à gauche.

Security Tool étant pour la plupart du temps accompagné d'autres malwares, passez à la suite de la désinfection (Malwarebytes...)
Antivir Rescue System


Si l'ordinateur n'arrive plus à démarrer vous pouvez tenter de passer Antivir Rescue System qui est un cd-bootable contenant l'antivirus Antivir à créer depuis un autre pc.

Tutoriel
Après le nettoyage

• Pour vérifier qu'il ne reste rien, il est préférable de faire un scan en ligne de son ordinateur.

Bitdefender en ligne

• http://www.commentcamarche.net/faq/sujet-8872-scanner-en-ligne-avec-bitdefender

Kaspersky en ligne

• http://www.commentcamarche.net/faq/sujet-17751-scanner-en-ligne-avec-kaspersky

Liens sur l'infection :
http://www.malekal.com/SecurityTool.php
Les faux codecs
Exploits sur les sites Web
http://www.bleepingcomputer.com/virus-removal/remove-security-tool

Nous vous conseillons de suivre une désinfection ou vous aider dans la désinfection de votre PC sur le forum Virus / Sécurité. Un helper confirmé pourra vous aider dans les manipulations ou confirmer que vous n'êtes plus touché par le rogue.


Merci a http://www.commentcamarche.net