Aujourd’hui l’un de nos clients était infecté par le virus “Security Tool”, qui simule un outil de sécurité pour récupérer les numéros de carte bleue.
Ne pouvant accéder au mode sans échec (vu que j’intervenais à distance), j’ai passé près de 2h à trouver une solution qui fonctionne directement.
Je vous la livre ici pour si vous êtes confronté au même problème.
1) Cliquez sur le lien suivant : iexplore
Si votre navigateur vous permet d’exécuter le programme directement, faites le.
Sinon, enregistrez le sur le bureau puis cliquez sur “Démarrer”, “Exécuter”, et saisissez “%UserProfile%\Bureau\iexplore.exe” (AVEC les guillemets)
nb: il est important que ce fichier s’appelle iexplore.exe pour que “Security Tool” ne bloque pas son exécution. En réalité il s’agit de “KillProcess”, un outil qui va nous permettre de tuer le virus.
2) Normalement vous avez maintenant une fenêtre “KillProcess” qui vous liste les processus en cours, triés par ordre alphabétique. Le premier processus doit contenir une série de chiffre (si ce n’est pas le cas, cherchez un processus dont le nom contient une série de chiffre). Sélectionnez le puis cliquez sur “Terminal”
3) A partir de là Security Tool ne doit plus bloquer l’exécution d’autres applications, on va en profiter pour exécuter “RKill” grâce au lien suivant : RKill
RKill va terminer automatiquement tous les processus susceptible d’être des virus (puis va se terminer lui même)
NOTE: Si vous voyez réapparaitre Security Tool juste après l’exécution de RKill c’est que vous avez une variante de Security Tool qui intercepte l’ouverture des fichiers texte pour se réactiver.
Dans ce cas recommencez la procédure sans lancer RKill et terminez un maximum de processus avec KillProcess.
4) Une fois que RKill a fini son travail, nous allons enfin pouvoir exécuter un outil de nettoyage.
Je vous préconise Malwarebyte’s Anti-Malware. Il vous faudra l’installer, puis cliquer sur “Rechercher”. Une fois la recherche terminée, cliquez sur le bouton “Ok” de la fenêtre qui s’affiche puis cliquez sur “Afficher les résultats” et enfin “Supprimer la sélection” (si vous êtes perdu, vous pouvez regarder ce tutoriel : Tutoriel MalwareBytes AntiMalware ) Une fois la suppression terminée, vous pouvez fermer l’application.
5) Nous allons terminer le nettoyage par l’exécution de ComboFix : ComboFix
L’utilisation de ComboFix est normalement assez simple… il suffit en gros de répondre Ok (tout est automatique). Néanmoins si vous êtes perdu, voici un tutoriel : Tutoriel ComboFix
Normalement, à l’issue du nettoyage par ComboFix vous ne devriez plus avoir ce virus, ni ceux installés avec 🙂