Encore System Care Antivirus -

Question

Bonjour,   

Comme le titre l'indique, j'ai été infecter par ce virus.   

J'ai réussie hier soir à supprimer son .exe qui était sur mon disque. Il ne se démarre donc plus à l'ouverture du PC (je crois).  Mais j'imagine que mon n'ordi ne respire pas la santé !  

J'ai Avast (ou avira..) comme antivirus, CCleanet et Malwarebytes d'installer.   

J'ai cru comprendre que je devais installer RogueKiller et le faire fonctionner (lancé un scan)  en mode Sans échec et vous copier/coller le rapport ici. Ensuite faire un scan de Adwcleaner ?  

Si System care antivirus ne m'empeche pas de faire les scans et autre manoeuvre, est-ce que je suis obliger de travailler en mode sans échec ?  

Si quelqu'un pouvait m'aider ? Merci !!  

(Je vais être devant mon PC infecter dans 1h30 top chrono, armer de patience et de rhum !)

g3n-h@ckm@n · Answer

salut

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

f2x40 · Answer

Je le fais en arrivant du travail (1h / 1h30)

Merci

g3n-h@ckm@n · Answer

ok à te lire si je suis encore debout ^^

f2x40 · Answer

Pendant que tu semble être la, petite question, pourquoi tu ne me fait pas utiliser le ''rogue killer''. Si l'explication est trop longue, ou trop ''pointu'', prend pas la peine d'écrire un roman pour moi !

g3n-h@ckm@n · Answer

parce que pre_scan , c'est moi qui le programme et je sais exactement ce qu'il répare. 
du plus il a une option diag qui permet aussi d'effectuer des scripts  selon le resultat
  
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤

f2x40 · Answer

https://www.cjoint.com/?CDrc5F9lakD

g3n-h@ckm@n · Answer

ok pour demain car là je suis crevé , déja il doit plus t'embeter :

tu relances pre_scan , il va t'afficher un menu , tu cliques sur diag , tu heberges le rapport pre_diag et tu donnes le lien je te ferai un script

f2x40 · Answer

merci :) 

Je fait cette démarche OPC !

f2x40 · Answer

https://www.cjoint.com/c/CDrdmDDb86S

f2x40 · Answer

# AdwCleaner v2.200 - Rapport créé le 17/04/2013 à 09:54:21
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : Vince3 - VINCE3-PC
# Mode de démarrage : Normal
# Exécuté depuis : F:\Users\Vince3\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : F:\Users\Vince3\AppData\Roaming\pdfforge
Fichier Supprimé : F:\END

***** [Registre] *****

Clé Supprimée : HKCU\Software\Ask.com.tmp
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Softonic

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16476

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v26.0.1410.64

Fichier : F:\Users\Vince3\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [976 octets] - [17/04/2013 09:54:21]

########## EOF - F:\AdwCleaner[S1].txt - [1035 octets] ##########



Je lance le Scan Malwarebytes à l'instant

f2x40 · Answer

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.17.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Vince3 :: VINCE3-PC [administrateur]

Protection: Activé

2013-04-17 10:03:07
mbam-log-2013-04-17 (10-03-07).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 372016
Temps écoulé: 35 minute(s), 47 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
D:\Deamon tools\DAEMON Tools Pro Advanced 5.0.0316.0317 (2012) [MULTi][WwW.ZoNaTorrent.CoM]\DAEMON Tools Pro Advanced 5.0.0316.0317 (2012) [MULTi][WwW.ZoNaTorrent.CoM].part13.rar (Trojan.Swisyn) -> Mis en quarantaine et supprimé avec succès.
F:\Pre_Scan\Quarantine\F'_$Recycle.bin_S-1-5-21-630151174-3052744623-281205604-1003_$RGPPJ6G_C8F017BD022919EA0000C8EF4ED31F56.exe.P_S (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

ok refais un diag stp

f2x40 · Answer

Un diag du programme Pre_Scan ?

Je le fait dès que je suis chez moi --> 3h pour vous :(

g3n-h@ckm@n · Answer

oui c'est ca :)

f2x40 · Answer

https://www.cjoint.com/?0DsdfekNAYP

g3n-h@ckm@n · Answer

re

selectionne ce texte , puis CTRL + C :

RegRead::
[HKU\S-1-5-21-630151174-3052744623-281205604-1001\Software\gtfretlu] 
[HKU\S-1-5-21-630151174-3052744623-281205604-1001\Software\mtrleqvr] 
[HKU\S-1-5-21-630151174-3052744623-281205604-1001\Software\uttsmgor] 
 
Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

f2x40 · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0416 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Vince3 : Windows 7 Professional (64 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 12:29:15

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



¤¤¤¤¤¤¤¤¤¤ | RegRead : 





¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 12:29:15

g3n-h@ckm@n · Answer

donc c'est OK on peut les virer je te prepare un script

g3n-h@ckm@n · Answer

avant cela ,

ce programme : PDF Architect

il te sert beaucoup ?

f2x40 · Answer

nope !

J'ai juste besoins du programme qui ouvre les PDF.

g3n-h@ckm@n · Answer

oué bon ca avec un gratuit tu peux tout autant le faire .....

f2x40 · Answer

c'est pas un gratuit ?

g3n-h@ckm@n · Answer

pdf architect ?

f2x40 · Answer

oui,

g3n-h@ckm@n · Answer

je ne sais pas...

mais je sais qu'il est souvent associé à des programmes pourris

f2x40 · Answer

alors on le vire !!

g3n-h@ckm@n · Answer

c'est plus qu'un conseil !

sumatraPDF y'a jamais eu de soucis avec ... tu veux un lien ?

f2x40 · Answer

je suis preneur

(de retour dans 20min)

g3n-h@ckm@n · Answer

si ce n'est que pour les lire , ceci est suffisant

https://www.commentcamarche.net/telecharger/bureautique/21259-sumatra-pdf/

f2x40 · Answer

next step ?

g3n-h@ckm@n · Answer

re

desinstalle pando media booster

==

selectionne ca texte , puis CTRL + C :

 Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
[HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
[HKU\S-1-5-21-630151174-3052744623-281205604-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[npxibtjp]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar]|[{25A3A431-30BB-47C8-AD6A-E1063801134F}] 
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]|[{25A3A431-30BB-47C8-AD6A-E1063801134F}]
[HKU\S-1-5-21-630151174-3052744623-281205604-1001\Software\gtfretlu] 
[HKU\S-1-5-21-630151174-3052744623-281205604-1001\Software\mtrleqvr] 
[HKU\S-1-5-21-630151174-3052744623-281205604-1001\Software\uttsmgor] 
[HKU\S-1-5-21-630151174-3052744623-281205604-1001\Software\Ask.com.tmp]     
[HKLM\Software\Pando Networks]     
[HKLM\Software\Wow6432Node\Pando Networks]     

File|Fold::
F:\Windows.old 
F:\Users\Vince3\AppData\Local\01595f06-a631-11e2-8274-b8ac6f996f26.crx 
F:\Users\Vince3\AppData\Local\{*} 
F:\Users\Vince3\AppData\Local\rnmofktf 
F:\Windows\System32\Tasks\{F9205C27-E4EA-47A6-926B-463BAFEA094A}

Clean::

MBR::

Reboot::       

 Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

f2x40 · Answer

J'ai déinstaller pendo,

Ensuite j'ai fait les étapes comme demander, mais aucun Pre_Script.txt est apparue sur le bureau. Seulement une dans mon disque F, le voici:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0416 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Vince3 : Windows 7 Professional (64 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 19:45:21

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(852) -- atiesrxx.exe
(1080) -- atieclxx.exe
(1288) -- spoolsv.exe
(1480) -- AppleMobileDeviceService.exe
(1664) -- taskhost.exe
(1740) -- mDNSResponder.exe
(1796) -- HiPatchService.exe
(1896) -- explorer.exe
(1128) -- iTunesHelper.exe
(124) -- G930.exe
(1508) -- MOM.exe
(2844) -- HelperService.exe
(2904) -- ConversionService.exe
(2948) -- PnkBstrA.exe
(3068) -- WLIDSVC.EXE
(1584) -- WLIDSVCM.EXE
(2508) -- CCC.exe
(3136) -- conhost.exe
(3740) -- iPodService.exe
(3188) -- SearchIndexer.exe
(4284) -- wmpnetwk.exe
(5032) -- PresentationFontCache.exe
(472) -- WUDFHost.exe
(3396) -- wuauclt.exe
(6616) -- taskeng.exe
(8024) -- MpCmdRun.exe

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions


Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:iTunesHelper 
Value Deleted : [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]:iTunesHelper 
Value Deleted : [HKU\S-1-5-21-630151174-3052744623-281205604-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:npxibtjp 
Value Deleted : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar]:{25A3A431-30BB-47C8-AD6A-E1063801134F} 
Value Deleted : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]:{25A3A431-30BB-47C8-AD6A-E1063801134F} 
Key Deleted : HKU\S-1-5-21-630151174-3052744623-281205604-1001\Software\gtfretlu 
Key Deleted : HKU\S-1-5-21-630151174-3052744623-281205604-1001\Software\mtrleqvr 
Key Deleted : HKU\S-1-5-21-630151174-3052744623-281205604-1001\Software\uttsmgor 
Key Deleted : HKU\S-1-5-21-630151174-3052744623-281205604-1001\Software\Ask.com.tmp 
Key Deleted : HKLM\Software\Pando Networks 
Key Deleted : HKLM\Software\Wow6432Node\Pando Networks 

¤

Folder Moved to quarantine successfully : |D| - F:\Windows.old 
File Moved to quarantine successfully : |A| - F:\Users\Vince3\AppData\Local\01595f06-a631-11e2-8274-b8ac6f996f26.crx 
Impossible to move Folder : |D| - F:\Users\Vince3\AppData\Local\{*} 
File Moved to quarantine successfully : |A| - F:\Users\Vince3\AppData\Local\rnmofktf 
File Moved to quarantine successfully : |A| - F:\Windows\System32\Tasks\{F9205C27-E4EA-47A6-926B-463BAFEA094A} 

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Professional
Windows Information:		Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer:	Gigabyte Technology Co., Ltd.
BIOS Manufacturer:		Award Software International, Inc.
System Manufacturer:		Gigabyte Technology Co., Ltd.
System Product Name:		P55M-UD2
Logical Drives Mask:		0x000003fd

Analysis of file "F:\Pre_Scan\MBR.bin":
Windows 7 MBR code detected


64 bits Not supported by MBR.exe , Dump : F:\Pre_Scan\MBR.Bin

¤


¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

Disk cleaned

¤


¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 19:46:33

g3n-h@ckm@n · Answer

re

quels soucis persistent ?

f2x40 · Answer

Je crois que tout semble bon !

Merci beaucoup !!

Concernant les programmes que tu ma fait installer, je peux les supprimé ?

g3n-h@ckm@n · Answer

re

fais le menage ca va les virer

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

Encore System Care Antivirus -

35 réponses

Votre réponse

Discussions similaires

Newsletters