Page 1 sur 1

[Résolu] Security Tool infecte mon systéme

Posté : 13 nov. 2010, 22:18
par buffalo
Bonsoir
Un logiciel malveillant portant le nom " Security Tool" s'est installé par je ne sais quel moyen sur mon pc aujourd'hui; ça a désactivé mon AV (Avira AntiVir) et bloqué l'accés à tous mes programmes (j'arrive meme pas à ouvrir l'Outil Capture pour vous faire un screen). L'écran bleu qui s'affiche avant le redémarrage m'indique que le probléme vient de "SPCMDCOM.sys". Je vous serai reconnaissant me donner une piste pour désinfecter mon pc. Merci :coucou: .

PS (J'ai Vista édition Familiale Premium).

Re: Security Tool infecte mon systéme

Posté : 13 nov. 2010, 22:25
par nardino
Bonsoir ,

Tu as du aller sur un site où l'on t'a demandé de charger un codec vidéo, non ?
Est-ce bien le cas ?

Dans le menu Windows, Tous les programmes tu dois voir un raccourci pour Security Tools.
Clique droit dessus et Propriétés.
Cela va t'indiquer sa localisation, tu choisis ouvrir le dossier.
Tu va s trouver un fichier avec huit ou dix chiffres .exe.
Clique droit dessus et choisis renommer.
Tu retires un chiffre ou tu en ajoutes un au choix.
Ensuite tu fermes ta session et non pas l'ordinateur puis tu la la rouvres.
Tu retournes dans le dossier et tu supprimes le fichier simplement.
Puis tu lances un scan avec la méthode suivante.
Image Télécharge et installe Malwarebytes Anti-Malware de RubbeR DuckY

Image Double-clique sur le fichier mbam-setup-1.46.exe (sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées
  • -Mettre à jour Malwarebytes' Anti-Malware
    -Exécuter Malwarebytes' Anti-Malware
Image Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche Image Exécuter un examen rapide, clique sur le bouton Image

Image A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

Image Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

@+

Re: Security Tool infecte mon systéme

Posté : 13 nov. 2010, 23:52
par buffalo
Ouf, ce Virus m'a bien foutu les boules.
Tout est réglé, Merci Nardino Image

Pour le "codec video",franchement j'ignore ce que c'est; mais en visitant des sites de streaming, mon IDM a capté un truc et demandé l'autorisation de débuter un téléchargement, demande que j'ai refusée bien évidemment.

Voici le rapport M'AM :arrow:
Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Version de la base de données: 5110

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

13-11-2010 22:09:23
mbam-log-2010-11-13 (22-09-23).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 159332
Temps écoulé: 11 minute(s), 45 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{fc0d62c2-9640-4aeb-a5d5-cf25df11fa8c} (PUP.OfferBox) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fc0d62c2-9640-4aeb-a5d5-cf25df11fa8c} (PUP.OfferBox) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bc4be15d-6a34-4356-9e97-79e43da32b1d} (Adware.Shopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Users\Salah\AppData\Roaming\OfferBox (PUP.OfferBox) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Users\Salah\AppData\Roaming\OfferBox\config.xml (PUP.OfferBox) -> Quarantined and deleted successfully.
C:\Users\Salah\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Users\Salah\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chkntfs.exe (Trojan.Downloader) -> Delete on reboot.
C:\Users\Salah\Local Settings\Temporary Internet Files\udRemove.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Re: Security Tool infecte mon systéme

Posté : 14 nov. 2010, 14:27
par nardino
Bonjour,
Tout est OK.
Te souviens-tu de l'adresse du site de streaming en cause car c'est certain que cela vient de là.
Si oui tu me la communiques par message personnel.

@+

Re: Security Tool infecte mon systéme

Posté : 06 août 2011, 17:08
par buffalo
Bonjour
j'ai de nouveau le même problème mais cette fois le logiciel malveillant est "Vista Antivirus 2012 ", j'arrive pas à trouver sa localisation (Dans le menu Windows, Tous les programmes), il bloque ma connexion, mon antivirus et mon firewall, please help, merci d'avance :(

Edit: J'ai supprimé 2 fichiers (eqa et un autre dont je ne me souviens plus) dans le dossier Local en pensant qu'il s'agissait du malware, et là, en redemarrant mon pc, "Vista Antivirus 2012" a disparu mais je ne peux plus ouvrir un seul programme (la fenêtre "ouvrir avec" apparait à chaque fois) et le volet windows vista est introuvable, qui peut m'aider? merci :coucou: .

Re: Security Tool infecte mon systéme

Posté : 06 août 2011, 20:00
par nardino
Bonsoir,
Pourquoi entreprendre des actions qui rendent le nettoyage plus difficile ?
Télécharge RogueKiller (par Tigzy) sur le bureau
(A partir d'une clé USB si le Rogue empêche l'accès au net) .
http://www.sur-la-toile.com/RogueKiller/
Quitte tous les programmes en cours
Lance RogueKiller.exe.
http://i65.servimg.com/u/f65/11/05/93/83/wgmxs810.png
Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.
Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.
(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)
Envoie une copie du rapport RKreport[1].txt.
Si les raccourcis ont disparus et seulement dans ce cas, relance l'outil en mode 6.
Envoie une copie du rapport RKreport[2].txt.
@+

Re: Security Tool infecte mon systéme

Posté : 07 août 2011, 22:35
par buffalo
Hello nardino
nardino a écrit :Bonsoir,
Pourquoi entreprendre des actions qui rendent le nettoyage plus difficile ?
Bah il fallait bien que je trouve un moyen pour me connecter vu que le rogue bloquait tout.
Voila le rapport RKreport aprés la desinfection:
RogueKiller V5.3.1 [06/08/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Salah [Droits d'admin]
Mode: Suppression -- Date : 07/08/2011 02:55:13

Processus malicieux: 0

Entrees de registre: 6
[ROGUE ST] HKCU\[...]\Run : 1292139272 (C:\Users\Salah\AppData\Local\eqa.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : PLFSetI (C:\Windows\PLFSetI.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Salah\AppData\Local\eqa.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Users\Salah\AppData\Local\eqa.exe" -a "%1" %*) -> REPLACED : ("%1" %*)

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Tout est réglé, mes programmes ont refonctionné, merci pour l'astuce :wink: