Aujourd’hui l’un de nos clients était infecté par le virus « Security Tool », qui simule un outil de sécurité pour récupérer les numéros de carte bleue.

Ne pouvant accéder au mode sans échec (vu que j’intervenais à distance), j’ai passé près de 2h à trouver une solution qui fonctionne directement.

Je vous la livre ici pour si vous êtes confronté au même problème.

1) Cliquez sur le lien suivant : iexplore

Si votre navigateur vous permet d’exécuter le programme directement, faites le.

Sinon, enregistrez le sur le bureau puis cliquez sur « Démarrer », « Exécuter », et saisissez « %UserProfile%\Bureau\iexplore.exe » (AVEC les guillemets)

nb: il est important que ce fichier s’appelle iexplore.exe pour que « Security Tool » ne bloque pas son exécution. En réalité il s’agit de « KillProcess », un outil qui va nous permettre de tuer le virus.

2) Normalement vous avez maintenant une fenêtre « KillProcess » qui vous liste les processus en cours, triés par ordre alphabétique. Le premier processus doit contenir une série de chiffre (si ce n’est pas le cas, cherchez un processus dont le nom contient une série de chiffre). Sélectionnez le puis cliquez sur « Terminal »

3) A partir de là Security Tool ne doit plus bloquer l’exécution d’autres applications, on va en profiter pour exécuter « RKill » grâce au lien suivant : RKill

RKill va terminer automatiquement tous les processus susceptible d’être des virus (puis va se terminer lui même)

NOTE: Si vous voyez réapparaitre Security Tool juste après l’exécution de RKill c’est que vous avez une variante de Security Tool qui intercepte l’ouverture des fichiers texte pour se réactiver.
Dans ce cas recommencez la procédure sans lancer RKill et terminez un maximum de processus avec KillProcess.

4) Une fois que RKill a fini son travail, nous allons enfin pouvoir exécuter un outil de nettoyage.

Je vous préconise Malwarebyte’s Anti-Malware. Il vous faudra l’installer, puis cliquer sur « Rechercher ». Une fois la recherche terminée, cliquez sur le bouton « Ok » de la fenêtre qui s’affiche puis cliquez sur « Afficher les résultats » et enfin « Supprimer la sélection » (si vous êtes perdu, vous pouvez regarder ce tutoriel : Tutoriel MalwareBytes AntiMalware ) Une fois la suppression terminée, vous pouvez fermer l’application.

5) Nous allons terminer le nettoyage par l’exécution de ComboFix : ComboFix

L’utilisation de ComboFix est normalement assez simple… il suffit en gros de répondre Ok (tout est automatique). Néanmoins si vous êtes perdu, voici un tutoriel : Tutoriel ComboFix

Normalement, à l’issue du nettoyage par ComboFix vous ne devriez plus avoir ce virus, ni ceux installés avec :)



Articles en rapport :

  1. Guide du débutant – Ajouter de la mémoire RAM sur un PC (fixe ou portable) Tweet Pour améliorer les performances d’un PC qui commence à...
  2. AComparatif DropBox, hubiC, ZumoDrive et SugarSync Tweet ATTENTION : Cet article est périmé. Les services testés...
  3. Accélérez les vidéos YouTube (gratuitement :) ) Tweet Si vous avez des lenteurs lorsque vous regardez des...
  4. En cas de problème lors de la mise à jour en Jelly Bean (4.1.1) de la Galaxy Note 10.1 Tweet La mise à jour d’Android en Jelly Bean est...
  5. Un chargeur intelligent, ça change tout (cas du RS-900 de La Crosse Technology) (Edit: maintenant remplacé par le RS-1000 puis le RS-1020) Tweet Aujourd’hui je me décide enfin à vous parler de...

103 commentaires au sujet de “Supprimer Security Tool”

  1. MARTINEZ dit :

    merci pour ta solution : elle a été efficace pour enlever cette saleté de mon ordinateur.

  2. Avec plaisir :-)
    Heureux que ça ait pu servir à quelqu’un :)
    Merci pour ton commentaire ;-)

  3. michel dit :

    Olivier, merci de ton aide. Je ne trouve pas de processus qui contienne de chiffre. Le premier est: CSRSS. Dans toute la colonne, aucun chiffre ous les processus.

    Egalement, j’ai un abonnement Malewarebytes Antimalware. Mais je n’arrive pas à le lancer. En effet, en mode normal, l’ouverture est bloquée par « security tools » et en mode « safe » l’icone apparait trop grande et je ne peux pas descendre jusqu’à « execution ».

    peut tu m’aider?

  4. Peut être que ta version de Security Tool n’utilise pas un nom de processus avec des chiffres…
    Il faudrait donc repérer quel est le processus « suspect »…
    Si tu m’indiques ici la liste des processus je pourrai peut être te le dire.

    Sinon, si malwarebytes est déjà installé, tu peux aussi essayer de renommer l’exécutable en « iexplore.exe »
    (fait un click droit>propriété sur l’icône que tu utilises pour le lancer pour savoir quel est le fichier à renommer)

  5. michel dit :

    Olivier

    c’est vraiment sympa de m’aider. voila la liste des « process »

    CSRSS.EXE
    EXPLORER.EXE
    ISASS.EXE
    MCAGENT.EXE
    MCSVHOST.EXE
    MFEFIRE.EXE
    MFEVTPS.EXE
    MSIEXEC.EXE
    MSMpEng.EXE
    SAFARI.EXE
    SERVICES.EXE
    SMSS.EXE
    SVCHOST.EXE (5 fois de suite mais avec deux icones differentes)
    SYSTEM (pas de « EXE »)
    WINLOGON.EXE

    J’ajoute que j’ai pu faire fonctionner le « Malwarebyte » en analyse rapide et complete en utilisant le « safe mode ». Il m’a trouvé 2 infections mais en rebootant la machine, rien n’était oté

  6. Je suspecte fortement MSIEXEC.EXE
    Il s’agit normalement d’un process qui s’exécute lorsque tu installes quelque chose… donc à moins que tu ne sois en train d’installer quelque chose, il n’y a aucune raison qu’il soit en train de tourner.

    CSRSS, EXPLORER, LSASS (et non ISASS), SERVICES, MSMPENG, SMSS et SVCHOST sont normalement des processus de Windows ; tu peux les laisser.
    MCAGENT, MCSVHOST, MFEFIRE et MFEVTPS sont des processus de l’antivirus de McAfee ; donc si tu as bien cet antivirus il est normal qu’ils soient en train de tourner.
    SAFARI est probablement ton navigateur. Tu peux le laisser aussi.

    Si le fait de tuer le processus MSIEXEC.EXE ne suffit pas à te permettre de lancer MalwareBytes, alors essai de tuer tous les process sauf explorer.exe. (Normalement tu ne pourras pas tous les tuer ; mais essaie quand même)

    Ensuite pour MalwareBytes, n’oublie pas
    1) de le mettre à jour (tu as visiblement une version récente de Security Tool)
    2) de bien cliquer sur « Afficher les résultat » et « Supprimer la sélection »… sinon il ne fait que détecter les problèmes mais ne les supprime pas

  7. michel dit :

    un immense merci.

    j’ai suivi tes indications en supprimant un maximum de processus. J’ai ensuite effectué une mise à jour de malwarebytes suivie d’une analyse rapide (2 infections trouvées).
    En rebootant la machine,le virus avait disparu. la machine était devenue très lente mais a retrouvé de la vigueur après un CCleaner suivi d’un TuneUp 1 click.

    Avis aux victimes potentielles: le virus est apparu sous forme d’une pièce jointe à un mail prétendument envoyé par DHL (colis soit disant non livré, je suis client régulier…). le mail est en anglais (je suis en Suisse romande donc DHL envoie ses mails en français mais je ne me suis pas méfié.

    Encore un grand merci. je ne sais pas ce que j’aurais fait sans aide extérieure.

  8. Heureux d’avoir pu rendre service :)

  9. jonathan dit :

    merci olivier de t’on aide, memme en mettent a jour malwarbytes il ne me trouve pas le virus, et cambofix et incompatible avec ma version de window, la je ne c plus comment fair merci par avence de t’on aide

  10. Quelle version de Windows as-tu ?
    A la place de malwarebytes, tu peux essayer SpyBot Search&Destroy : http://www.safer-networking.or.....index.html

  11. jérémy dit :

    Bonjour olivier j’ai le même problème grâce a tes explications je l’ai supprimé avec joie. Puis quand j’ai rallumé mon ordinateur sécurity tool est réapparue. Peux tu m’aider stp merci.

  12. ilyasse dit :

    merci beaucoup le viruse security tool est parti

  13. Murzuphle dit :

    Bonjour,
    j arrive a lancer killProcess et supprimer le fichier en question. mais voila quand le lance rkill il se stop tout seul (affichant le bloc note en pop up:
    « This log file is located at C:\rkill.log.
    Please post this only if requested to by the person helping you.
    Otherwise you can close this log when you wish.
    Ran as maison on 25/09/2010 at 19:29:03.

    Services Stopped:

    Processes terminated by Rkill or while it was running:

    C:\Documents and Settings\maison\Bureau\iexplore.exe
    C:\Documents and Settings\maison\Local Settings\Temporary Internet Files\Content.IE5\14E7OPNN\rkill[1].com

    Rkill completed on 25/09/2010 at 19:29:24.
    ) et alors réapparaissent les pop up de security tool. impossible d aller plus loin, j ai essayer d arreter d autres prcessus mais meme probleme… que dois je faire? merci de votre reponse.

  14. Il est normal que rkill se stop tout seul… c’est son mode de fonctionnement…

    En revanche, il n’est pas normal que Security Tool continue d’afficher des popup…

    Je pense que vous avez là une nouvelle version de Security Tool.

    Tout ce que je peux vous conseiller c’est :
    – supprimer un maximum de processus grâce à KillProcess
    – passer MalwareBytes (en n’oubliant pas de le mettre à jour)
    – si ça ne suffit pas, passer également Spybot Search&Destroy

  15. Pierre B. dit :

    Un grand merci pour votre aide, il m’a permis de me débarasser de ce virus. Encore merci!!

  16. Boris dit :

    Merci pour tes conseils clairs et efficaces. C’est suffisamment rare sur Internet pour être souligné. C’est tellement plus simple quand c’est si bien expliqué. Un grand merci.
    Afin de ne pas bloquer l’exécution, j’ai pour ma part fait ctrl alt suppr dès l’ouverture du bureau (avant que Security Tool s’exécute) et j’ai pu dès l’ouverture de Security Tool(même si la fenêtre était bien caché par ses messages j’ai pu cliquer de justesse) cliquer sur fin de tache. Ca m’a permis un petit gain de temps me semble-t-il.
    Boris.

  17. cliff dit :

    Il faut renommé l’exe redémarré l’ordi. Le virus ne s’ouvrira pas ensuite il suffit juste de trouver l’endroit ou il se cache et la supprimé pas besoin de logiciels spéciaux .
    cordialement

  18. Vi dit :

    Olivier Merci beaucoup pour ces précieuses infos, elles m’ont été très utiles afin d’éradiquer Sécurity Tool alors que tous les autres procédés trouvés sur internet n’avaient pas fonctionné.
    Encore merci, c’est vraiment très gentil de votre part de prendre le temps d’informer les néophytes et de répondre a nos questions.

    Bravo !

  19. Geoffrey dit :

    Bonjour,

    Merci pour vos conseils. Mais j’ai un problème. En effet, j’ai réussi à télécharger KillProcess qui fonctionne correctement et met fin au blocage de Security Tool. Par contre lorsque j’exécute RKill, celui-ci m’affiche son rapport, mais lorsque je ferme le rapport Security Tool redémarre. Est-ce normal ?

    De plus, j’ai essayé de télécharger Malwarebyte’s, on me dit que ce n’est pas possible. J’ai par contre Spybot Search&Destroy qui est déjà sur mon ordinateur et qui tourne en ce moment. Cela peut-il suffire ?

    Je vous remercie de votre aide.

    Geoffrey

  20. Philippe F dit :

    Merci 1.000 fois !!! bien flippé ce matin en découvrant cette cochonnerie de security tool; après avoir lu d’autres posts que j’ai trouvé bien compliqués, je suis arrivé ici et miracle : des explications claires, faciles pour un utilisateur lamba comme moi et problème résolu !!!

    Bravo et encore merci
    Philippe

  21. Thibaud dit :

    Merci pour ce tuto simple rapide et efficace !

  22. Julien dit :

    Bonjour, j’ai ce ***** de virus!!!! j’ai essayé votre truc mais :s pas moyen d’ouvrir Malewarebytes Antimalware :s!
    je ne sais pas quoi faire!
    HELP MEE

  23. Merci à tous pour vos commentaires :)
    Ca fait vraiment plaisir :)

    @cliff : on peut effectivement supprimer le virus « à la main », mais c’est loin d’être aussi simple que tu le pense… ne serait-ce que parceque tant que le virus est actif tu ne peux ni renommer ni supprimer l’exécutable (il faut donc d’abord killer le processus… hors, le virus empêche l’ouverture du gestionnaire de tâches pour pouvoir le faire… d’où la nécessité de passer par un programme extérieur renommé en iexplore.exe) ensuite, je ne sais pas pour celui-ci mais très souvent les virus ne se contentent pas d’un seul exe mais en mettent plusieurs… de sorte que si tu en supprime un, celui ou ceux restant le rétabliront. Bref, à mon avis rien ne vaut un petit utilitaire comme Malwarebyte’s antimalware ou Spybot Search&Destroy (qui je le rappelle sont gratuits)

    @Geoffrey : Non, ce n’est pas normal que Security Tool « redémarre »… Soit c’est parcequ’il n’a pas réellement été tué par Killprocess (il reste peut être un processus actif lié au virus… essayez de supprimer un maximum de processus) soit c’est parceque cette version du virus intercepte l’ouverture des fichiers textes pour se recharger.
    Ce que vous pouvez essayer de faire c’est de recommencer la procédure sans lancer RKill. C’est à dire supprimer un maximum de processus avec KillProcess puis lancer directement MalwareBytes.
    Il est aussi possible que Spybot Search&Destroy en vienne à bout… c’est à tester (ne pas oublier de faire les mises à jour ; si les mises à jour ne se font pas il y a de grande chance que ce soit le virus qui les bloquent justement pour éviter que Spybot ne le détecte)

    @Julien : Vous pouvez toujours essayer de faire ce que j’ai indiqué à Geoffrey ; n’oubliez pas de bien mettre à jour Antimalware une fois que vous aurez réussi à l’ouvrir.

  24. Yoan dit :

    Un énorme merci pour ces explications très simples ! J’ai enfin réussi a me débarrasser de cette saleté !

  25. Greg dit :

    Bonjour,

    J’ai lu tout vôtre post, mais malheureusement je n’y arrive pas.

    Après avoir lancer KillPorcess ou je supprime bien le processus avec plein de chiffre : 5153851922.exe
    Je lance rKill qui démarre et se ferme automatiquement.
    Et si j’ai bien suivi les étapes, je suis censé lancer MalwareBytes.
    Mais un message d’erreurs s’ouvre…
    J’ai aussi essayé la manière que vous avez proposé à Geoffrey mais j’ai le même résultat (message d’erreurs).

    Besoin d’aide.

    Merci

  26. Floriano dit :

    Bonjour, et merci pour les infos!!!

    Très bon travail de votre part je recommande.

  27. richard dit :

    merci beaucoup j’ai pu resoudre le probleme en une demi heure
    la deniere fois (en 2009) j’avais trois jours;
    bonne continuatio

  28. Nawacke dit :

    Merci beaucoup !!! Virus is dead !!!!

  29. Bonbonsucre dit :

    Bonjour Olivier, déja, merci pour votre présence, déja, et les quelques réponses claires que vous m’avez apporté, je peux naviguer tranquillement sur mon ordinateur, au moins pour un temps!

    Tout comme Geoffrey, quand je lance rkill, Security Tool est relancé… et il recommence son baratin.

    Sans utiliser rKill, lorsque que je lance MalwareByte, un message d’erreur apparait alors: « erreur d’execution « 0″ « , n’ayant pas le choix, j’appuie donc sur « ok », et un deuxieme message s’affiche « erreur d’execution « 440″ erreur Automation », appuyant de nouveau sur « ok », tout se ferme.

    Quoi qu’il en soit, grace à iexplore, Security Tool disparait mon ordi, ce qui est déja un exploit, je peux travailler, c’est ce que je cherchais, mais il réapparait à chaque démarrage de l’ordi.

    S’il était possible de le virer totalement de l’ordi, j’avoue que je ne serai pas contre! (je tiens à signaler que je ne peux passer par le mode sans echec, l’ordi me demande un mot de passe (comme en mode normal) mais celui ci, je ne le connais pas! )

    je veux bien supprimer un max de processus avec Killprocess mais j’ai un peu peur de supprimer un process important, pourrait-on avoir plus des conseils?

    merci encore, et merci d’avance!

  30. emma dit :

    Bonjour Olivier,
    je viens de découvrir que mon ordinateur était lui aussi atteint par ce virus du coup j’ai téléchargé iexplore mais rien à faire, dès le début security tool le bloque. Je n’arrive pas du tout à l’exécuter meme en administrateur , rien ne s’affiche (du moins une fenêtre s’affiche et disparait instantanément, suivie d’un message de security tool) Aurais-tu une solution à mon problième ?

  31. Bonbonsucre dit :

    Je me permet de resposter parce que visiblement, grâce à la femme de ma vie (et fantastique informaticienne à ses heures perdues), j’ai apparemment réussi à me débarasser de ce fléau!

    JE NE CONNAIS QUE LA METHODE SUR WINDOWS XP

    comment procédé, c’est tres simple

    1- prendre iexplore de Olivier
    2- l’utiliser, virer le process avec la suite de chiffre (personnellement, je me suis plus fié à l’icone [le meme que security tool, le bouclier bleu donc] à coté du nom qu’au nom en lui meme!)
    3- une fois le virus disparu temporairement de votre ordi, aller dans démarrer –> tous les programmes –> accessoires –> outils systeme –> restauration du systeme
    4- maintenant que le virus ne bloque plus les applications, une grande fenetre s’ouvre, vous proposant une restauration selon une heure anterieur, et un autre choix
    5- prenez la restauration selon une heure anterieur et choisissez une date à laquelle vous etes sur de ne pas avoir encore contracté le virus (moi, je l’ai chopé ce matin, j’ai fait une restauration selon le 24 septembre, pour etre sur!)
    6- lancer la restauration, vous ne perdrez ni vos travaux, ni les fichiers sauvegardés, par contre, apparemment, vous perdrez les logiciels téléchargés depuis la date prise pour cible (j’ai donc perdu rkill, marwarebyte et iexplore)

    Votre ordinateur redemarre normalement, un message « restauration » s’affiche, mettez ok, le virus a normalement disparu!

  32. Cyril dit :

    Merci pour ce post!! probleme résolu apres plein de tentative en mode sans echec!
    milles merci!!

  33. Angélique dit :

    Bonjour je tenais à vous remercier en effet j’ai attrapper ce virus hier soir et j’étais completements perdue !! Je vous remercie encore bonne journée

  34. Maël dit :

    Merci énormément !!!
    J’ai fait tous les sites internet, essayé de télécharger pleins de trucs différents, mais rien à marcher… Jusqu’à la découverte de votre méthode ! Vraiment merci vous m’avez sauver la vie !
    Les explications sont très claires, et précises, c’est parfait :)
    Bravo !

  35. Marie dit :

    Bonjour,

    Pour ma part, le premier process de la liste est bien une série de chiffre. Lorsque je la sélectionne et que je clique sur « terminal », la liste réapparait avec le même process en première position. Pouvez-vous m’indiquer comment faire. Merci beaucoup pour vos conseils.

  36. Geoffrey dit :

    Ok je vais essayer de cette façon. Spybot ne m’a rien trouvé par contre, ce qui est assez bizarre.

    Mais si je lance Malwarebytes sans que Killprocess n’ait fonctionné cela ne fonctionnera pas ? Si je lance RKill, Malwarebytes puis Combofix ?

    En ce qui concerne les logiciels ils sont tous à jours d’hier ou aujourd’hui donc cela ne devrait pas poser de problèmes.

    J’ai aussi remarqué une icône de Sécurity Tool dans ma liste de programmes du menu démarrer, si ça peut changer quelque chose.

    En tout cas merci de votre aide, c’est déjà une bonne chose de savoir comment arrêter temporairement ce virus.

  37. Geoffrey dit :

    Hum excusez-moi, j’ai confondu RKill et Killprocess.

    Et en plus j’ai mal lu ce que vous m’avez conseillé, je répète la même chose. Excusez-moi ;)

  38. Mélou dit :

    Ohhh merci merci merci !!! Combofix a supprimé ce virus à la noix ! Bravo, et merci pour tes précieux conseils !!

  39. Véro dit :

    Merci beaucoup pour ces infos, je viens de réussir à supprimer cette »chose » de l’ordi de mon fils!
    Très contente de trouver des personnes compétentes, j’ai suivi le mode op à la lettre, un peu inquiète quand même au début car je ne suis pas une pro, mais le résultat est là!
    Encore merci

  40. Alexis dit :

    Bonjour Olivier, je vous remercie beaucoup pour votre aide.
    Alexis.

  41. Alexis dit :

    Je n’ai pas réussi à télécharger Malewarebytes Antimalware donc j’ai télécharger CCleaner c’est bon aussi ?

  42. Marine dit :

    MERCI, jamais je ne vous remercierais assez parce que je n’en pouvais plus des sites qui me demande de redemarrer en mode sans echec, j’étais sur le point de formater mon ordinateur ( en ne sachant meme pas si ça aurait été utile ) alors merci!!!

  43. Christophe dit :

    Un grand merci pour cette créativité.
    Et cette efficacité , un bon coaching virtuel !
    Bravo, je me suis débarassé de cette saleté je dois avouer avoir … flippé

  44. vettier dit :

    bonsoir olivier/j ai bien suivi tes instructions pour eradiquer security tool en finissant par combofix.le virus semble parti mais je ne peux plus utiliser aucune application sur mon pc. c’est noté »tentative d operation non autorisee sur une cle du registre marquee pour supression ».que dois je faire?merci de ta reponse

  45. Merci pour tous ces nouveaux commentaires :)

    @Greg : pourriez vous indiquer l’erreur que vous obtenez lorsque vous tentez de lancer MalwareBytes ?

    @Bonbonsucre : Vu le message d’erreur que vous aviez, personnellement j’aurais tenté de désinstaller malwarebytes et de le réinstaller en téléchargeant la dernière version.
    La restauration système est aussi une bonne solution mais :
    – vous risquez de perdre le paramétrage de logiciels récemment installés
    – si le virus était déjà présent lors de la sauvegarde système, ça ne résoudra rien.
    Je suis content que dans votre cas ça ait fonctionné.
    Sinon pour infos pas de danger à supprimer un max de process : au pire l’ordinateur ne répondra plus et il suffira de le redémarrer (et recommencer sans tuer le processus en question)

    @Emma : C’est bien embêtant que la version de Security Tool que vous avez bloque l’exécution de iexplore.exe :( Eventuellement ce que vous pouvez tenter c’est enregistrer iexplore.exe sur le bureau et le renommer en n’y mettant que des chiffres (5153851922.exe par exemple) Si ça ne marche toujours pas vous pouvez aussi essayer de le renommer en explorer.exe. Apres ça, je n’ai plus d’autre solution à vous proposer que de redémarrer en mode sans echec (ou d’utiliser une astuce avec MultiBoot mais c’est un peu complexe… il faudrait que j’écrive un article exprès…)

    @Alexis : Non, CCleaner ne résoudra pas votre problème. Il faut absolument arriver à télécharger MalwareBytes (ou éventuellement SpyBot Search&Destroy)
    Essayez de terminer un maximum de processus avec KillProcess.
    Si vous n’y arrivez toujours pas, une autre solution peut être de télécharger MalwareBytes depuis un autre poste sur une clé USB et de l’exécuter depuis la clé USB.

    @Marine : Avec plaisir :) Le reformatage aurait effectivement résolu le problème, mais ç’aurait été dommage de tout perdre ;-)

    @Vettier : Si tu ne peux vraiment plus utiliser aucune application, j’ai bien peur que la seule solution soit la restauration système (comme l’a fait Bonbonsucre)
    Mais avant de tenter ça, personnellement j’essaierai ceci :
    – Nettoyer la base de registre avec CCleaner puis rebooter
    – Si ça ne suffit pas, repasser Malwarebytes ET Spybot Search&Destroy en veillant bien à ce qu’ils soient bien à jour.
    En effet, le message d’erreur que tu as est généralement provoqué par des virus… il est donc très probable que tu en ais encore un ou deux :( Passer CCleaner peut permettre de finir le ménage déjà entrepris par Malwarebytes/Spybot

  46. Geoffrey dit :

    Bon eh bien Malwarebytes semble avoir résolu mon problème et éradiqué le virus. J’ai redémarré mon ordinateur et il n’est plus revenu. De plus je n’ai pour l’instant aucun problème de ralentissement comme on a pu l’évoquer plus haut.

    Est-il tout de même nécessaire d’exécuter ComboFix ? J’ai un peu lu le tutoriel du logiciel et il est marqué qu’il est puissant et qu’il vaut mieux faire attention en s’en servant. Je n’ai donc pas envie de risquer de faire une erreur. Mais bon si vraiment vous me dites que c’est indispensable je lancerais le logiciel.

    Merci à vous.

  47. Salem dit :

    Le virus me bloque Malwarebytes. Une idée pour m’aider?
    De plus, quand j’active Rkill, une fenêtre bleue du virus (un scan), se met en route, est-ce normal?
    Merci ;)

  48. john11 dit :

    je n’ai pas pu ou du moin je eu peur d’utiliser « combofix » car après l’avoir télécharger et ouvert le fichier, mon ordinateur a émit une petite sonnerie que je n’avais jamais entendu auparavant, et ma averti comme quoi s’était réservé a un usage personnel je ne sais trop quoi, et par peur jai préféré fermé.

    j’ai seulement utiliser « Malwarebyte’s Anti-Malware » et apparemment cette saloperie de logiciel a disparu je ne reçoit plus de faux scannage et d’annonce en tous genre et mes logiciels ne sont plus bloqué, mais ya t’il des risques que « security tool » soit encore présent et fasse encore des dégats sur mon ordinateur ???

    en tous cas un ENORMISSIME merci a vous qui avez de la patiente , prenez le temp de répondre a chacun de nous, et surtout merci pour l’exiplacation très simple et bien détaillé .

  49. Jacques dit :

    Bonsoir Olivier, J’ai suivi à la lettre vos conseils et télécharché Malwarebytes ainsi que Spybotsd mais n’arrive pas a les enregistrer, Sécurity Tool me l’empêchant. Par contre j’ai le bloc-notes de Rkill qui a fonctionné. Puis j’ai essayé la restauration du systeme qui, elle aussi est impossible. J’ai Windows XP. Ais-je en encore un espoir de me débarrasser de ce virus? Un grand merci pour la peine que vous vous êtes donné jusqu’à présent.

  50. @Geoffrey : Personnellement je n’ai jamais eu de soucis avec ComboFix… je trouve le tutoriel un peu alarmiste…
    L’objectif de ComboFix est d’éradiquer les infections qui seraient passer au travers de MalwareBytes. En effet, Security Tool rend inefficaces les antivirus, laissant le poste à la merci de tous les malwares. C’est donc plus par précaution que je recommandais l’emploi de ComboFix.
    Si votre poste fonctionne bien sans, vous pouvez vous en passer.

    @Salem : Avez vous essayé de lancer MalwareBytes sans lancer d’abord RKill ? Il semble qu’il existe une variante de Security Tool qui réinfecte le poste à l’ouverture d’un fichier texte… Essayez aussi de supprimer un maximum de processus avec KillProcess, pour être sûr de stopper Security Tool… sinon celui ci vous empêchera de lancer RKill et/ou MalwareBytes.

    @john11 : Comme je l’expliquais à Geoffrey, il n’est pas réellement nécessaire d’utiliser ComboFix. Si votre poste fonctionne correctement vous pouvez vous en passer.
    Mais encore une fois, je trouve ces « avertissements » trop alarmistes ;-) Je n’ai jamais eu de soucis avec ComboFix, tout en le laissant en automatique.

    @Jacques : Ces blocages sont dû à Security Tool, qu’il faut d’abord stopper à l’aide de KillProcess. Essayez de fermer un maximum de processus avec KillProcess avant de lancer d’autres outils.

    PS: Quelqu’un m’a demandé s’il était possible de faire un don… donc oui, maintenant c’est possible ;-) Pour ceux qui le souhaitent, il y a maintenant un lien « Faire un don » dans la colonne à droite de l’article. Mais ne vous sentez surtout pas obligés !! (je peux vivre sans :p )

  51. Salem dit :

    J’ai réussi à lancer Malwarebytes sans Rkill, tout d’abord en utilisant killprocess, puis en utilisant un patch qui est censé « désactiver » le virus.
    J’ai alors pu utiliser Malwarebytes, effectuer l’analyse, afficher les résultats et supprimer la sélection. Il m’a alors conseillé de redémarrer le pc. Ce que j’ai fait, sauf que le virus était de retour. J’ai donc ré-effectuer la même manoeuvre. Le virus est pour le moment inactif. Dois-je réutiliser Maleware sans faire redémarrer le pc?
    Merci de votre réponse ;)

  52. fanfan dit :

    Je viens de me débarrasser de ce virus, je suis complètement incapable de vous dire comment. J’ai fait tellement de manip. Restauration en mode sans échec inutile, impossible d’éxécuter rkill et malwaremachin à cause du virus. Finalement ce qui a marché je crois c’est combofix, je suis sur Vista. Avant de lancer combofix, j’ai pris soin de « désactiver le virus » avec Killprocess. Bon courage à tous. Et vraiment un grand merci à toi Olivier. Cette saloperie m’a occupé tous le week end.
    Et juste une question: Comment est arrivé ce machin sur mon ordi?
    Et une autre question puisque tu as l’air meilleur que moi en informatique: Est ce qu’un keylogger, ou un logiciel d’espionnage quelconque installé sur mon ordinateur peut révéler mes manip sur un autre ordinateur ? Je soupçonne mon ex de m’en avoir installé un, et de continuer à m’épier de cette façon. Est-ce possible ?

  53. Jacques dit :

    Que voulez-vous dire par fermer un maximum de processus. RKILL a fonctionné en laissant un bloc-notes avec « Processes terminated by rkill or while is was running » -l’anglais n’est pas vraiment ma tasse de thé-. C’est à partir de là que je n’arrive plus à « exécuter » Malwarebytes ou spybotsd. Où ais-je fauté?

  54. @Salem : Il vaut mieux en effet repasser MalwareBytes… Vérifiez qu’il est bien à jour. Avant de redémarrer, essayez aussi de passer SpyBot Search&Destroy (à jour) et ComboFix.

    @fanfan : Oui, c’est possible, mais pas franchement simple et les keyloggers sont généralement détectés par Malwarebytes, SpyBot, ComboFix et les antivirus.

    @Jacques : Lorsque vous lancez iexplore.exe, une fenêtre s’affiche avec une liste de processus. Il faut en terminer le plus possible. Ensuite, lancez directement Malwarebyte.

  55. Gabriel dit :

    Bonjour,
    j’ai lancé le iexplore (killprocess), comme indiqué dans le blog, après je lance Rkill et la securitytool se relance… au secours svp!

  56. Geoffrey dit :

    Ok, merci beaucoup pour votre réponse et votre aide. Au moins, si le problème se représente, je saurai quoi faire.
    Je trouve très bien ce que vous faites sur votre site !

    Bonne continuation à vous ;-)

  57. @Gabriel : vous avez vraisemblablement une version plus récente qui se recharge à l’ouverture de fichier texte (comme c’est le cas avec RKill).
    Reprenez la procédure sans lancer RKill (c’est à dire en lançant MalwareBytes à la place)

    @Geoffrey : Avec plaisir et merci pour vos commentaires :)

  58. Gabriel dit :

    Merci, d’avoir répondu si vite, j’ai lancé MalwareBytes

  59. Salem dit :

    Effectivement, j’ai du louper la mise à jour. J’ai relancé MalwareBytes (avec une mise à jour) et suivi d’une analyse complète. L’analyse fut longue, mais au redémarrage, le virus avait disparu.
    Merci énormément pour vos conseils, et bonne continuation ;)

  60. globine dit :

    un ENORME merci au createur ce ce forum. aucun souci pour desinstaller cette merde de logiciel (y en a vraiment qui se font chier pour créer des saloperies pareilles), bien expliqué et tout et tout.trop fun. encore merci
    globine

  61. Gabriel dit :

    Merci beaucoup, à priori c’est parti, mais après démarrage j’ai quand même du supprimer security tool qui était dans le menu démarrer mais qui ne s’était pas lancer automatiquement cette fois. J’ai ensuite vider la corbeille, je vais lancer combofix.

    En tout cas, merci beaucoup pour cette précieuse aide, j’en étais à 5h de recherche et de méthode différentes, vous m’avez enfin apportez des réponses. Merci.

  62. Jacques dit :

    Enfin j’ai réussi à me débarrasser de ce virus grâce à vos précieux conseils. Je tenais vivement à vous en remercier et vous féliciter. Devons nous garder les logiciels que vous citez sur l’ordinateur sans que cela ne produise un problème ou bien les vider dans la corbeille?
    Encore merci!

  63. vettier dit :

    merci olivier pour ce depannage.il y a en ce moment une epidemie de cette salete de virus(3 collegues l on choppe ce week end sur leur ordi.je leur ai parle de ton site .encore un grand merci.

  64. Merci pour vos commentaires :)

    @Jacques : Vous pouvez laisser les logiciels ou les supprimer, ça n’a pas beaucoup d’importance (il n’est pas gênant de les conserver, et vous pourrez les télécharger à nouveau facilement si vous les avez supprimés et que vous en avez de nouveau besoin)

  65. Guillaume dit :

    Voila tout simplement merci Olivier ! Ca m’a retiré une grosse épine du pied. Très bon site bien expliquer. Merci et a bientôt !

  66. Nicolas dit :

    Merci beaucoup olivier!!!
    ouf, sauvé, une demi journée à chercher un moyen de supprimer ce virus de M…
    Felicitations pour avoir trouvé cette solution
    Breton? Olivier huet…
    Encore un grand merci

  67. Patrice dit :

    Bonjour,
    J’ai mis le temps mais j’ai réussi à m’en débarrasser.
    Merci beaucoup, Olivier, de plus, ça m’a permis de comprendre un peu mieux mon PC. :)
    Comme les autres, j’ai dû avoir une version récente parce que j’avais les erreurs sur le malwareBytes, au début et qu’après avoir lancé tous les éradiqueurs disponibles, le virus se relançaient à chaque redémarrage.
    En fait, j’avais plusieurs versions du virus.
    Ils étaient cachés dans : C:\Documents and Settings\%MyProfile%\Local Settings\Application Data\
    Et j’avais un raccourci dans le menu démarrer :C:\Documents and Settings\%MyProfile%\Menu Démarrer\Programmes\security tool

    Après avoir neutraliser le virus avec l’excellent outil d’Olivier pour arrêter les processus. J’ai tout supprimé et maintenant, tout va bien.
    Merci beaucoup Olivier

  68. Thanh dit :

    Merci beaucoup, ça a marché ! j’ai tué ce rogue. J’ai bien suivi le process que vous avez indiqué et je ne suis vraiment pas une pro d’ordinateur. Merci encore.

  69. laurent dit :

    Merci mille fois !!!!
    Un super travail qui m’as sorti d’un mauvais pas.

  70. Clément dit :

    Bonjour,

    Je suis occupé depuis ce matin à détruire ce virus, mais rien n’y fait.
    Depuis le mode sans échec, j’ai plusieurs fois terminé le nettoyage de Malwarebytes’ Anti-Malware, suivi de CC Cleaner (je ne peux pas utiliser Combofix, je suis en 64bits)(petit détail, dans iexplore, aucun fichier avec des n° et aucun que je peux terminer – normal?). En redémarrant mon PC, Security-Tool était toujours là.

    Cette fois ci, depuis le mode sans échec, je n’arrive même plus à lancer Malwarebytes’ Anti-Malware…

    Merci d’avance pour votre aide.
    Clément

  71. Depuis iexplore (en fait KillProcess), essai de terminé un maximum de processus (si ça plante, note le process que tu viens de terminer, redémarre et recommence sans terminer ce processus)
    Une fois ceci fait, et uniquement à ce moment là, lance MalwareBytes et MET LE A JOUR.
    Ensuite, lance la vérification et la suppression.

  72. PIERRE dit :

    merci beaucoup jai fai tout ce ke vous mavez dit et sa a marché je vous en remercie !!!!

  73. SkorpyO dit :

    Dieu merci… Enfin mon sauveur est là ! merci pour ton travail, j’ai réussi a éliminer ce foutu bordel grâce a toi ;)

  74. arthur dit :

    bonjour je bataille depuis 3h pour enlever security tool je n’y arrive pas … j’ai télécharger iexplorer sur le lien jarrive à l’ouvrir mais aucun processus n’est une suite de chiffres… pouvez vous m’aider ?

  75. ismo dit :

    slt j ai u le meme probleme que tout le mond ici allor jai telecharger un enti virus qui s’appelle malwarebytes’ anti-malware j ai fait des scann avais et il ma trouver 2 virus les virus etais security tools allor je les et suprimer et mon ordinateur remarche corectement

  76. amigues dit :

    je n’y arrive pas j’ai lancer ton anti-vitus j’ai suprimer un sorte scaraber vert la et il et tj la ce tool la

  77. amigues dit :

    Ah si c bon j’avais oblier le dernnier truc que ta mit merci beaucoup ;)

  78. Merci à tous pour vos commentaires :)

    @arthur : si vous ne trouvez pas de processus avec une suite de chiffre alors essayez de terminer un maximum de processus. Si ca plante, redémarrez et recommencer sans supprimer le processus qui généré le plantage.
    Une fois ceci fait, télécharger et lancez malwarebytes antimalware, mettez le à jour et lancez une recherche (puis un nettoyage).

  79. Patrice B dit :

    Bonjour Olivier et un grand merci car samedi soir j’ai chopé ce virus et j’ai vraiment flipé.
    dimanche matin après avoir parcouru le net un bon moment j’ai trouvé votre procédure que j’ai suivi à la lettre et après quelques heures de galère, j’ai enfin éliminé ce satané virus.
    encore merci pour vos précieux conseils.

  80. MARTINEZ dit :

    Un grand merci !!!
    Après de nombreux essai infructueux, j’ai réussi grâce à tes conseils à anéantir le virus !!!
    Cependant, je n’ai pu mener à bien la dernière étape (Combofix étant incompatible avec mon ordi, vista 7)
    Pourtant le virus n’est plus là. La dernière étape est elle vraiment nécessaire? Si oui comment la réaliser ac un dérivé de combofix ?? ou un combofix fonctionnel ac mon ordi?

    Merci encore

  81. @Patrice B : merci pour votre commentaire.

    @MARTINEZ : Non, cette étape n’est pas vraiment nécessaire ; c’est juste pour parfaire le nettoyage des virus qui ont pu s’installer suite à l’installation de Security Tool. Si votre poste fonctionne correctement vous pouvez vous en passer.

  82. Maurice dit :

    Bonjour, j’ai Vista et comme tant d’autres j’ai été infecté par le virus « Security Tool », ça a duré 2 jours mais j’y suis arrivé, si ça peut rendre service à quelqu’un voila comment j’ai procédé.
    Relever la marche à suivre du virus, à un moment ou à un autre, Security Tool vous l’indiquera dans une fenetre bleue.
    Pour moi c’était :
    C/Utilisateur/Maurice/Appdata/Local.
    Donc redemarrer en mode SANS ECHEC. Aller dans « poste de travail » ou « ordinateur » puis :
    C
    Utilisateur
    Maurice
    Appdata
    Local.
    Ceci est mon exemple.
    Et là vous apercevrez le virus, supprimez-le et redemarrez.
    Pour moi ça a marché, il n’y a pas de raison que ça ne marche pas pour vous.
    Bonne continuation.

  83. Bertrand dit :

    Merci a toi Olivier. J’etais dans le meme cas de figure que Patrice B : aucun des logiciels proposes sur les sites web ne reussissaient a s’ouvrir, Security tool les bloquait.
    Ta procedure a bien marche hormis le combo fix car je suis sous Windows Seven.
    Mais tous a l’air clean, enfin !
    Merci encore.

  84. nedim dit :

    Merci énormément pour ta solution , j’en ais éssayé plein d’autre mais seul celle ci fut concluante . felicitations

  85. Anthony dit :

    Bonjour,
    etant infecté par security tool, je suis à la recherche d’une solution.
    Je pense que la votre est la bonne( j’en ai déjà essayé plusieurs)
    Cependant je ne peux ni executer ou enregistrer iexplorer. Comment expliquer ce problème
    Merci d avance

  86. @nedim : que se passe-t-il quand tu essaies de l’enregistrer ou de l’exécuter ?

  87. steph dit :

    Merci, ta solution est LA solution, bravo !!

  88. arnaud dit :

    merci pour le tuto très complet et facile d’exécution, rare sur le net.

    en revanche combofix n’est pas très cool, il m’a supprimé photoshop.

    mais grand merci ;)

  89. Merci pour ton commentaire :)
    Pour Photoshop, il était peut être tout simplement vérolé… ;-)

  90. Sylvao dit :

    Pfioou! il a fait des dégats ce « security tool » :) Bon je ne suis pas contaminé par ce truc mais bravo à toi Olivier pour l’aide que tu as donné à tous ces gens.

  91. jean-luc dit :

    un grand merci pour tout!
    En suivant à la lettre vos instructions, ce virus a été enfin supprimé! Merci et bonne continuation;

  92. lili dit :

    Bonjour !

    La fenêtre killprocess apparait bien, j’arrive à supprimer le processus avec les chiffres.
    Lorsque je lance Rkill une fenêtre noire avec des sortes de lignes de commande se lance et me génère une sorte de fichier texte et security tool réapparait de nouveau.

    Que faire ?

    Merci

  93. Alexxx dit :

    Merci bcp!

  94. Jessica dit :

    Bonjour !

    Vous avez l’air de bien connaître ce qui relève de l’informatique :-) . Je me permets de vous écrire ici car je ne sais pas trop dans quelle rubrique vous laisser un message.

    En fait, j’ai un souci avec un logiciel de traduction que j’ai téléchargé sur internet il y a quelques temps. Il s’appelle « Whitesmoke Translator ». Il s’ouvre automatiquement à chaque fois que je démarre mon ordinateur et le ralentit beaucoup. J’ai donc essayé de le supprimer via le panneau de configuration, mais cela ne marche pas. Je suis alors allée chercher des infos sur internet, mais je n’ai que trouvé quelque chose sur le forum de « Comment ça marche ». J’ai aussi laissé un message sur le site « Hardware.fr » mais personne ne répond.

    Sur le site de « Comment ça marche » (http://www.commentcamarche.net.....whitesmoke), j’ai trouvé qu’il faut arrêter le processus de Whitesmoke Translator par le gestionnaire des tâches et ensuite supprimer le logiciel normalement avec le panneau de configuration. Mais ça ne marche pas.

    Ensuite, il est aussi conseillé de télécharger le logiciel Revo, car il aide à désinstaller les logiciels récalcitrants. Donc je l’ai téléchargé. On peut choisir parmi 4 modes de désinstallation:
    - intégré: démarre uniquement le désinstalleur intégré sans réaliser de scan additionnel
    - sûr: inclut le mode « intégré » et réalise des scans additionnels, dans le registre et le disque dur, pour uniquement trouver des éléments restants sûrs à supprimer. Mode le plus rapide
    - modéré: inclut le mode « sûr » et réalise des scans étendus pour trouver tous les éléments restants de l’application dans les endroits les plus courants du registre et du disque dur
    - avancé: inclut le mode « modéré » et réalise des scans approfondis et complets, du registre et du disque dur, pour pour trouver tous les éléments restants relatifs à l’application. Mode le plus lent.

    J’ai sélectionné le mode « avancé ». Mais à un moment donné, ça fait comme si je passais par le panneau de configuration: une fenêtre s’ouvre avec écrit en anglais: « specify the location of the file SilentInstall.exe to continue ». En-dessous, il faut parcourir des dossiers. Là, je peux quand même passer à l’étape suivante, en cliquant sur « cancel », qui recherche dans le registre et le disque dur tout ce qui est lié à l’application. Ensuite, un fenêtre s’ouvre avec les éléments restants du registre que Revo a trouvé. Là, il faut cocher les éléments que l’on souhaite supprimer. Mais comme j’ai peur de faire une erreur parce que je ne comprends rien à toutes les choses qui sont écrites, je préfère vous demander quoi faire. Je pourrais faire une capture d’écran de cette fameuse page pour que vous puissiez y voir plus clair si vous le souhaitez.

    Désolée de la longueur du message ;-) .

    Merci d’avance !!

  95. Merci pour vos commentaires :)

    @Lili : Si Security Tool réapparait à l’issu de RKill, il faut recommencer la procédure sans lancer RKill.

    @Jessica : Je vous suggère d’utiliser plutôt la méthode « modérée ». Vous trouverez de l’aide sur Revo ici : http://www.forum-vista.net/rev.....-group-166. Personnellement ce que j’aurais fais c’est supprimer (ou plutôt renommer) le répertoire de « Whitesmoke Translator » dans C:\Program Files\, puis j’aurais lancé un nettoyage de la base de registre (avec CCleaner par exemple)

  96. Jessica dit :

    Le fait de renommer le répertoire va l’empêcher de se lancer au démarrage de l’ordinateur si j’ai bien compris ?

    Pour CCleaner, je peux le laisser dans sa configuration d’origine pour le nettoyage de la base de registre ? Car j’ai pu voir qu’il y avait différents choix d’emplacement à choisir.

    De plus, je viens de voir que CCleaner proposait un outil de désinstallation de programmes. Est-ce que cela pourrait marcher de cette façon ? Je pense que CCleaner doit être plus « féroce » que le programme de Windows.

  97. Oui, vous pouvez utiliser la configuration par défaut de CCleaner.
    L’outil de désinstallation de CCleaner en revanche n’est pas plus puissant que celui de Windows (il est juste un peut plus rapide à l’affichage) et ne vous aidera donc pas…

  98. Jessica dit :

    Bon et bien le problème est réglé grâce à Revo Uninstaller ! Très bon logiciel, très performant et très rapide !

    Je vous remercie de votre aide et de vos conseils rassurants !

    Bonne journée à vous !:-)

  99. Juliette dit :

    Un grand merci à Bonbonsucre, cela faisais 1h que je tentais par tous les moyens de supprimer ce saleté de virus, j’ai suivi toutes les indications de ce blog mais rien à faire, Security Tool revenait a chaque fois, même en supprimant le processus dans la barre de tâche ou par les logiciels donnés, même en faisant de multiples analyses avec mon anti-virus, il était toujours là. J’ai restaurer mon système sans grande conviction et POUF disparu. Merci également à Olivier car sans vous je crois que ce virus serait encore là pour me pourrir mon ordinateur et ma vie parallèlement.
    Merci merci merci et encore merci.

Répondre

Vous pouvez utiliser ces balises: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>