Supprimer MS REMOVAL TOOL

Je précise que j'ai suivi les instructions suivantes:

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven, => Clique droit, lancer en tant qu'admin
* Lance le.
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois, ou renommer en winlogon.exe

Le soucis c'est que Malwarebytes qui me permettrai de supprimer les fichier installé par MS REMOVABLE TOOL ne veut pas s'exécuter.

poste le ou les rapports de roguekiller
¤¤¤¤¤¤¤¤¤¤ g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Titi Phenom [Droits d'admin]
Mode: Suppression -- Date : 13/06/2011 02:34:15

Processus malicieux: 1
[SUSP PATH] hO06501AfBnP06501.exe -- c:\programdata\ho06501afbnp06501\ho06501afbnp06501.exe -> KILLED

Entrees de registre: 6
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Titi Phenom\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
[SUSP PATH] HKLM\[...]\Run : PLFSetI (C:\Windows\PLFSetI.exe) -> DELETED
[SUSP PATH] HKCU\[...]\RunOnce : hO06501AfBnP06501 (C:\ProgramData\hO06501AfBnP06501\hO06501AfBnP06501.exe) -> DELETED
[SUSP PATH] AutoKMS.job : c:\windows\autokms.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]

Termine : << RKreport[1].txt >>
RKreport[1].txt

re

il faudrait que tu fasse l'option maintenant

Je ne comprends pas.
Comment ça faire l'option?

desolé y'a un chiffre qui a pas suivi avec la souris ^^

option 6

Et ça permet de faire quoi l'option 6?

de récupérer ce que le rogue t'aurait fais disparaitre

raccourcis dans le menu demarrer , fichier dans les documents , etc.....

RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Titi Phenom [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 13/06/2011 12:17:47

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 1 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 17 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 138 / Fail 0
Mes documents: Success 4 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 169 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Malwarebytes ne veut toujours pas démarrer :(

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

http://www.cijoint.fr/cjlink.php?file=cj201106/cijD5tx5AZ.txt

il te manquait 2 fichiers , ils ont ete téléchargés et remis dans ton systeme

¤¤¤¤¤¤¤¤¤¤ Verification des Fichiers

C:\Windows\System32\hkcmd.exe........absent !!!!
C:\Windows\System32\hkcmd.exe........téléchargé et replacé :)

C:\Windows\System32\MpSigStub.exe........absent !!!!
C:\Windows\System32\MpSigStub.exe........téléchargé et replacé :)

========================================

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\system32\CLWatson.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

J'espère qu'on va y arriver chef :P

Bon voilà et merci pour toute cette aide quand même (je l'avais pas dis)

http://www.virustotal.com/file-scan/report.html?id=39e81e6ad93d67e2d1caea6bb2796564d4377b463dca1305d20453eed6c020ae-1307963570

0/41? Ca à l'air de dire que tout va bien?

oui mais ce qui m'interesse aussi c'est tout ce qui apparait quand on clique sur "show all"

================================

desinstalle spybot il sert à rien

================================

fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre

selectionne ce texte sans les lignes :
___________________________________________________
folder::
C:\Users\Titi Phenom\AppData\Roaming\cacaoweb
C:\Users\Titi Phenom\AppData\Roaming\OpenCandy
C:\ProgramData\hO06501AfBnP06501
C:\ProgramData\regid.1986-12.com.adobe
C:\ProgramData\Spybot - Search & Destroy
C:\Users\Titi Phenom\AppData\Local\OpenCandy

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"=-
"AdobeBridge"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"PlayMovie"=-
"eRecoveryService"=-
"SunJavaUpdateSched"=-
"QuickTime Task"=-

Host::

___________________________________________________

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail

J'ai fais ce que tu m'as dis. Mais quand j'ai enregistré le fichier, il m'affiche maintenant le bureau sans plus aucune icone. Et je n'ai plus non plus la barre des tâches de Windows. J'ai l'impression que quelque chose travail là.
C'est normal?

tu as bien fait enregistrer et pas enregistrer sous ,

Ah ok, j'ai mal lu --'

Bon, je refais la manip alors? Mais quand afficher de nouveau mon bureau et la barre des tâches?

ctrl+alt+supp puis dans le gestionnaire des taches tu tapes : explorer

tu as bien desinstallé spybot ?