KMSpico Updater et SECOH-QAD.exe

KMSpico Updater et SECOH-QAD.exe
4.8 (95.38%) 13 votes

KMSpico Updater est un programme qui force l’utilisation de proxy (vous décochez l’option de proxy, le programme l’a remet) et permet d’activer les programmes Microsoft Windows ou Office.
Le proxy peut poser des problèmes de sécurité car il peut permettre :

  • d’afficher des publicités intempestives
  • de rediriger vers de fausses sites (par exemple un faux site qui ressemble à Google).
  • de voler des mots de passe.

Dans les cas observé, les utilisateurs n’avaient aucune idée comment ce programme s’est installé sur l’ordinateur.

kmspico_hacktool_KMS

KMSpico Updater s’installe dans les dossiers :

  • C:\Program Files (x86)\KMSpico Updater
  • C:\Program Files (x86)\KMSpico
  • et créé une tâche planifiée : KMSpico Updater.job

En outre KMSpico Updater ajoute les fichiers qui peuvent être détecté en Win64/HackKMS.C ou Win32/HackKMS.C (catégorie Riskware) soit donc globalement Hacktool.AutoKMS :

  • C:\Windows\SECOH-QAD.exe
  • C:\Windows\SECOH-QAD.dll

 

Voici une analyse antivirus que nous avons soums pour ce fichier :

SHA256: 9896a6fcb9bb5ac1ec5297b4a65be3f647589adf7c37b45f3f7466decd6a4a7f
Nom du fichier : SECOH-QAD.exe.xBAD
Ratio de détection : 5 / 57
Date d’analyse : 2015-02-24 13:50:48 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
Baidu-International Hacktool.Win64.HackKMS.C 20150224
ESET-NOD32 Win64/HackKMS.C potentially unsafe 20150224
McAfee Artemis!38DE5B216C33 20150224
McAfee-GW-Edition BehavesLike.Win64.PUP.xt 20150224
VIPRE RiskTool.Win32.ProcessPatcher.Sml!cobra (v) (not malicious) 20150224

Windows Defender / Microsoft Security Essentials le détecte en Hacktool:WIN32/AutoKMS :

HackTool_AutoKMS

Le proxy est forcé sur l’adresse : http://127.0.0.1:8080

KMSpicoUpdater_proxyKMSpicoUpdater_proxy2

La procédure suivante vous guide dans la suppression de KMSpico Updater et Win64/HackKMS


Téléchargez FRST et placez le sur le bureau :

Il faut ensuite effectuer une correction en suivant le contenu ci-dessous, vous pouvez aussi vous aider du Tutoriel FRST : http://www.malekal.com/2013/06/15/tutorial-farbar-recovery-scan-tool-frst/#fix

Ouvrez le Bloc-Notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copiez/collez dans le Bloc-Notes ce qui suit :

ProxyEnable: [HKLM] => ProxyEnable is set.
ProxyEnable: [HKLM-x32] => ProxyEnable is set.
ProxyServer: [HKLM] => http=127.0.0.1:8080;https=127.0.0.1:8080
ProxyServer: [HKLM-x32] => http=127.0.0.1:8080;https=127.0.0.1:8080
C:\Program Files (x86)\KMSpico Updater
C:\Windows\SECOH-QAD.exe
C:\Windows\SECOH-QAD.dll
C:\Windows\Tasks\KMSpico Updater.job
C:\Windows\System32\Tasks\KMSpico Updater
C:\Program Files\KMSpico
cmd: netsh winhttp reset proxy

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, placez-vous sur le bureau.

Dans le champs en bas, nom du fichier, saisissez: fixlist.txt
Clicquez sur Enregistrer – cela va créer un fichier fixlist.txt sur le bureau.

Relancez le programme FRST qui doit se trouver sur le bureau.
Clicquez sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).

Redémarrez l’ordinateur

Supprimer KSMPico avec AdwCleanerHacktool_AutoKMS

AdwCleaner est un programme qui permet de supprimer les programmes parasites et Adwares

  • Téléchargez AdwCleaner – Aide et fonctionnement : http://www.malekal.com/tutoriel-adwcleaner
  • Une fois le programme démarré, cliquez sur Scanner
  • puis cliquez sur Suppression pour supprimer les adwares et programmes parasites détectés.

AdwCleaner_V3

  • AdwCleaner va scanner votre ordinateur et supprimer les programmes parasites.

Eventuellement cela peux nécessiter un redémarrage de l’ordinateur.

Notez que certains adwares peuvent être logés sur des navigateurs en particulier sous forme d’extensions, les publicités intempestives ne s’affichent alors que pour ce navigateur (à tester).

AdwCleaner en vidéo :

Supprimer KMSPico avec ZHPCleaner

ZHPCleaner en vidéo :

Après désinfection : Comment éviter les Adwares ?

Vérifiez que le proxy ne soit plus présent : Comment supprimer les proxys
Si l’option des proxys ne se recoche plus, c’est gagné.

Changez alors tous vos mots de passe WEB : Mail, Facebook, jeux en ligne etc.

Vous pouvez supprimer AdwCleaner et ZHPCleaner.

Pour prévenir les sites malicieux, tu peux installer Blockulicious : Installer Blockulicious

Pour ne plus te faire avoir. A lire – Programmes parasites / PUPs et Adwares

Besoin d’aide ?

Pour toute aide personnalisée, vous pouvez créer un sujet dans la partie Virus du forum malekal.com : http://forum.malekal.com/