Comment se debarasser de security tool?

Résolu
quatrobis -  
 titpom -
Bonjour,

Petit probleme depuis hier soir, je suis infecté par security tool! J'ai essayer plusieures bricoles trouvées à droite à gauche sur le net, mais impossible d'éradiquer cette saleté!!

Si une âme charitable pouvait me venir en aide...!

D'avance merci.

17 réponses

  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour,

    Commence par ceci.

    1/ Télécharge rkill de Grinler sur ton Bureau (et pas ailleurs).
    https://download.bleepingcomputer.com/grinler/rkill.scr

    * Double-clique sur le fichier rkill sur ton Bureau afin de lancer l'outil.
    ( Pour les utilisateurs de Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" ).
    * Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

    * Si rien ne se passe, ou si l'outil ne se lance pas, télécharge l'outil depuis un des 3 autres liens ci-dessous et fais une nouvelle tentative d'exécution.
    https://download.bleepingcomputer.com/grinler/rkill.com
    https://download.bleepingcomputer.com/grinler/rkill.exe
    https://download.bleepingcomputer.com/grinler/eXplorer.exe (rkill renommé en eXplorer.exe)
    https://download.bleepingcomputer.com/grinler/iExplore.exe (rkill renommé en iExplore.exe)
    /!\ Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne continue pas le nettoyage, et préviens moi dans ton prochain message. /!\

    2/ Tu télécharges ensuite MalwareBytes.
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l'installes. Choisis les options par défaut.
    # A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
    # Accepte. Après la, mise à jour, le logiciel va s'ouvrir.

    # Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
    # Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
    # Clique sur lancer l'examen.

    # A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    # Si des infections sont trouvées, clique sur Supprimer la sélection.
    Tu postes le rapport dans ton prochain message.

    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

    Le scan prend environ 50 mn.

    A+
    0
  2. quatrobis
     
    Ok merci, je tente ca tout de suite.
    0
  3. quatrobis
     
    Impossible de lancer Malwarebytes, security tool le bloque!

    Je tente en mode sans échecs...
    0
  4. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Oui,

    Bonne idée mais fais-le dans ce cas en mode sans échec avec prise en charge réseau ( pour la mise à jour de malwarebytes ).

    Et n'oublie pas de lancer rkill avant.

    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. quatrobis
     
    voila le resultat:

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4787

    Windows 5.1.2600 Service Pack 3 (Safe Mode)
    Internet Explorer 8.0.6001.18702

    10/10/2010 09:54:42
    mbam-log-2010-10-10 (09-54-42).txt

    Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
    Elément(s) analysé(s): 242327
    Temps écoulé: 47 minute(s), 23 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{534B8128-EC24-4921-8129-94DFD94CDF71}\RP774\A0060437.exe (Adware.ADON) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Utilisateur\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
    0
  7. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bien,

    Tu es de retour sous windows ou toujours en mode sans échec ?

    --------------------------------------------------------------------------------

    Le fichier lié à security tool n'a pas été supprimé.
    Il y a encore un peu de boulot.

    Télécharge OTL (de OldTimer) sur ton Bureau.
    http://oldtimer.geekstogo.com/OTL.scr

    Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

    * Double-clique sur OTL.scr pour le lancer.
    Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
    * Sélectionne l'option tous les utilisateurs.
    * Dans la partie Personnalisation, copie/colle la liste suivante.

     netsvcs 
    Drivers32
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*. 
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %appdata% *.exe /s 
    %APPDATA%\*.  
    %systemroot%\*. /mp /s 
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    CREATERESTOREPOINT 


    * Enfin, clique sur le bouton Analyse rapide.

    * Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

    Utilise un site comme http://cijoint.fr pour les déposer.
    indique ensuite les deux liens crées.

    A+
    0
  8. quatrobis
     
    Je suis toujours en mode sans échecs.

    Je suis ta procédure.
    0
  9. quatrobis
     
    Voici les deux liens:

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijVFYAg8u.txt

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijf7xImVI.txt

    PS: je suis toujours en mode sans échecs, c'est ok?
    0
  10. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Je regarde les rapports.
    Réponse à venir.

    A+
    0
  11. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Relance OTL.exe.

    * Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :

    :OTL 
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. 
    O3 - HKU\S-1-5-21-746137067-1958367476-839522115-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. 
    O4 - HKU\S-1-5-21-746137067-1958367476-839522115-1004..\RunOnce: [343830] C:\Documents and Settings\Utilisateur\Local Settings\Application Data\343830.exe () 
    O4 - HKU\S-1-5-21-746137067-1958367476-839522115-1004..\RunOnce: [358031] C:\Documents and Settings\Utilisateur\Local Settings\Application Data\358031.exe () 
    O4 - HKU\S-1-5-21-746137067-1958367476-839522115-1004..\RunOnce: [813826] C:\Documents and Settings\Utilisateur\Local Settings\Application Data\813826.exe () 
    O4 - HKU\S-1-5-21-746137067-1958367476-839522115-1004..\RunOnce: [8546127] C:\Documents and Settings\Utilisateur\Local Settings\Application Data\8546127.exe () 
    [2010/10/09 20:45:01 | 000,999,936 | ---- | M] () -- C:\Documents and Settings\Utilisateur\Local Settings\Application Data\8546127.exe 
    [2010/10/09 20:45:00 | 000,999,936 | ---- | M] () -- C:\Documents and Settings\Utilisateur\Local Settings\Application Data\813826.exe 
    [2010/10/09 20:20:18 | 001,003,008 | ---- | M] () -- C:\Documents and Settings\Utilisateur\Local Settings\Application Data\358031.exe 
    [2010/10/09 20:20:17 | 001,003,008 | ---- | M] () -- C:\Documents and Settings\Utilisateur\Local Settings\Application Data\343830.exe


    * Puis clique sur le bouton Correction en haut de la fenêtre.
    * Laisse le programme travailler.

    Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
    sauvegarde-le sur ton Bureau et poste-le ensuite.

    Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
    Regarde suivant la date : mmjjaaaa_xxxxxxxx.log


    A+
    Allez jusqu'au bout de la procédure de désinfection.
    0
  12. quatrobis
     
    Le voila:

    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
    Registry value HKEY_USERS\S-1-5-21-746137067-1958367476-839522115-1004\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
    Registry value HKEY_USERS\S-1-5-21-746137067-1958367476-839522115-1004\Software\Microsoft\Windows\CurrentVersion\RunOnce\\343830 deleted successfully.
    C:\Documents and Settings\Utilisateur\Local Settings\Application Data\343830.exe moved successfully.
    Registry value HKEY_USERS\S-1-5-21-746137067-1958367476-839522115-1004\Software\Microsoft\Windows\CurrentVersion\RunOnce\\358031 deleted successfully.
    C:\Documents and Settings\Utilisateur\Local Settings\Application Data\358031.exe moved successfully.
    Registry value HKEY_USERS\S-1-5-21-746137067-1958367476-839522115-1004\Software\Microsoft\Windows\CurrentVersion\RunOnce\\813826 deleted successfully.
    C:\Documents and Settings\Utilisateur\Local Settings\Application Data\813826.exe moved successfully.
    Registry value HKEY_USERS\S-1-5-21-746137067-1958367476-839522115-1004\Software\Microsoft\Windows\CurrentVersion\RunOnce\\8546127 deleted successfully.
    C:\Documents and Settings\Utilisateur\Local Settings\Application Data\8546127.exe moved successfully.
    File C:\Documents and Settings\Utilisateur\Local Settings\Application Data\8546127.exe not found.
    File C:\Documents and Settings\Utilisateur\Local Settings\Application Data\813826.exe not found.
    File C:\Documents and Settings\Utilisateur\Local Settings\Application Data\358031.exe not found.
    File C:\Documents and Settings\Utilisateur\Local Settings\Application Data\343830.exe not found.

    OTL by OldTimer - Version 3.2.14.1 log created on 10102010_103025
    0
  13. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    OK,

    Tu peux revenir sous windows.
    Tu ne devrais plus avoir d'alertes.

    A+
    0
  14. quatrobis
     
    Alors deux choses:

    -1: je n'ai absolument rien compris à ce que tu m'a fais faire!!!

    -2: un grand merci à toi, car tout à l'air de refonctionner à merveille!!

    Merci beaucoup, rapide, efficace et sympa!!
    0
  15. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    quatrobis,

    super.

    Bon weekend.

    :-)
    0
    1. quatrobis
       
      à toi aussi.
      0
    2. stephane
       
      comment fais tu pour te mettre ne mode sans echec ? j'ai le meme probleme que toi avec malwarebytes
      0
  16. titpom
     
    Si ma reponse n'est pas trop tardive: appuis sur f8 pendant le demarrage de ton ordi (pendant la page noire avec le petit tiret)
    0