Eliminer System Care AntivirusRésolu/Fermé

Question

Bonjour, 

Je viens de découvrir que je suis infecté par System Care Antivirus. 

J'ai donc un peu regardé ce qui a été dit sur le forum à ce sujet et j'ai vu que Malekal-Morte conseillait dans un premier temps qu'il fallait déjà installer RogueKiller, le lancer et poster le rapport. 
Je reviendrais donc poster le rapport dès que le scan sera terminé.

Merci d'avance,

Denis

Configuration: Windows 7 / Internet Explorer 10.0

Sugel · Answer

Lance le en mode sans échec.

Densate · Answer

Oui je l'ai bien sur lancé en mode sans échec, car de toute façon sinon je ne pouvais rien faire. Donc voici le rapport. Merci de bien vouloir me dire ce qu'il faut faire pour la suite car là j'ai bien avancé pour un novice mais là je bloque ! RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Samsung [Droits d'admin] Mode : Recherche -- Date : 24/04/2013 23:10:27 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 6 ¤¤¤ [RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 740971E782CF83E400007408FDE58AEA (C:\ProgramData\740971E782CF83E400007408FDE58AEA\740971E782CF83E400007408FDE58AEA.exe) [-] -> TROUVÉ [RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-3569859696-1890918891-1788243419-1000[...]\RunOnce : 740971E782CF83E400007408FDE58AEA (C:\ProgramData\740971E782CF83E400007408FDE58AEA\740971E782CF83E400007408FDE58AEA.exe) [-] -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: MD01600-AVDW-RO ATA Device +++++ --- User --- [MBR] 0c08a323def9be6965876b4ddfe22d3d [BSP] 05ed16f5b03c55ed790fa1d14a0679c8 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 152525 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_24042013_231027.txt >> RKreport[1]_S_24042013_231027.txt

Densate · Answer

Mince je n'avais pas fait suppression, voici donc le nouveau rapport après avoir fait suppression : RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Samsung [Droits d'admin] Mode : Suppression -- Date : 24/04/2013 23:23:12 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 5 ¤¤¤ [RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 740971E782CF83E400007408FDE58AEA (C:\ProgramData\740971E782CF83E400007408FDE58AEA\740971E782CF83E400007408FDE58AEA.exe) [-] -> SUPPRIMÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> REMPLACÉ (1) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: MD01600-AVDW-RO ATA Device +++++ --- User --- [MBR] 0c08a323def9be6965876b4ddfe22d3d [BSP] 05ed16f5b03c55ed790fa1d14a0679c8 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 152525 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_24042013_232312.txt >> RKreport[1]_S_24042013_231027.txt ; RKreport[2]_D_24042013_232312.txt

Malekal_morte- · Answer

Salut,

Good,
Fais ça ensuite :


Télécharge https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/ AdwCleaner ( d'Xplode ) sur ton bureau.   
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).   
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller. 
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt   


puis : 


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt  
Fournir les deux rapports : 

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/     

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.     
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)     

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus). 

* Lance OTL     
* En haut à droite de Analyse rapide, coche "tous les utilisateurs" 
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :     



netsvcs    
msconfig    
safebootminimal    
safebootnetwork    
activex    
drivers32    
%ALLUSERSPROFILE%\Application Data\*.    
%ALLUSERSPROFILE%\Application Data\*.exe /s    
%APPDATA%\*.    
%APPDATA%\*.exe /s    
%temp%\.exe /s    
%SYSTEMDRIVE%\*.exe    
%systemroot%\*. /mp /s 
%systemroot%\system32\consrv.dll 
%systemroot%\system32\*.dll /lockedfiles    
%systemroot%\Tasks\*.job /lockedfiles    
%systemroot%\system32\drivers\*.sys /lockedfiles    
%systemroot%\System32\config\*.sav    
/md5start    
explorer.exe    
winlogon.exe    
wininit.exe    
/md5stop 
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s 
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s 
CREATERESTOREPOINT    
nslookup www.google.fr /c    
SAVEMBR:0    
hklm\software\clients\startmenuinternet|command /rs    
hklm\software\clients\startmenuinternet|command /64 /rs     



* Clique sur le bouton Analyse. 

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent). 
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message. 
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message. 

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE  
  
Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

Densate · Answer

OK, merci de ton aide, je fais tout ça en rentrant chez moi ce soir.

Bonne journée.

Densate · Answer

Alors me voici chez moi et je viens de faire tout ce que tu m'as conseillé à un détail près : 
Lorsque j'ai lancé ADWCleaner, à la fin du scan l'ordinateur a redémarré et j'ai donc appuyé sur F8 pour être en mode sans échec.... erreur ! 
Bref, j'ai relancé ADWCleaner et lorsque l'ordinateur a redémarré, je n'ai PAS appuyé sur F8. 

Voici le rapport ADWCleaner (OTL est en train de chercher, je te donne le lien vers le rapport dès qu'il aura terminé) : 

# AdwCleaner v2.202 - Rapport créé le 25/04/2013 à 21:01:05 
# Mis à jour le 23/04/2013 par Xplode 
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits) 
# Nom d'utilisateur : Samsung - DENISPORTABLE 
# Mode de démarrage : Mode sans échec avec prise en charge réseau 
# Exécuté depuis : C:\Users\Samsung\Desktop\adwcleaner.exe 
# Option [Suppression] 


***** [Services] ***** 


***** [Fichiers / Dossiers] ***** 


***** [Registre] ***** 


***** [Navigateurs] ***** 

-\ Internet Explorer v10.0.9200.16537 

[OK] Le registre ne contient aucune entrée illégitime. 

-\ Google Chrome v [Impossible d'obtenir la version] 

Fichier : C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Preferences 

[OK] Le fichier ne contient aucune entrée illégitime. 

-\ Opera v12.2.1578.0 

Fichier : C:\Users\Samsung\AppData\Roaming\Opera\Opera\operaprefs.ini 

[OK] Le fichier ne contient aucune entrée illégitime. 

************************* 

AdwCleaner[S1].txt - [2437 octets] - [25/04/2013 20:54:44] 
AdwCleaner[S2].txt - [1049 octets] - [25/04/2013 21:01:05] 

########## EOF - C:\AdwCleaner[S2].txt - [1109 octets] ##########

Densate · Answer

Et voici le rapport OTL:

http://pjjoint.malekal.com/files.php?id=20130425_d11q8b12r14h12

Je te remercie d'avance car déjà sur ma session, je n'ai plus de fenêtre à la con me disant que mon ordi est infecté !

Denis

Malekal_morte- · Answer

Désinstalle McAfee Security Scan.
Sert à rien.

Relance OTL. 
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
CHR - homepage: http://www.searchnu.com/414
[2013/04/24 22:13:01 | 000,000,000 | ---D | C] -- C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus  
[2013/04/24 22:07:03 | 000,000,000 | ---D | C] -- C:\ProgramData\740971E782CF83E400007408FDE58AEA 

* redemarre le pc sous windows et poste le rapport ici

Densate · Answer

J'ai redémarré l'ordinateur. Et voici le rapport. 

========== OTL ==========
Use Chrome's Settings page to change the HomePage.
C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus folder moved successfully.
Folder C:\ProgramData\740971E782CF83E400007408FDE58AEA\ not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04252013_222548

Malekal_morte- · Answer

ca a l'air correct.

Si tu as Spybot, désinstalle, il est dépassé et inefficace.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Densate · Answer

Merci pour ton aide et tes conseils pour la sécurité de mon PC.

Bonne continuation et pleins de bonnes choses pour toi,

Densate

Malekal_morte- · Answer

bonne soirée à toi aussi :)

willkawa61 · Answer

bonsoir a tous. 
help me!!

mon pc est  infecté par ce meme virus "system care ... " 
quel sont les solutions pour un novice en informatique? :)

willkawa61 · Answer

roguekiller? c'est un logiciel?

Malekal_morte- · Answer

oui,

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier. 

!!! Démarre sur la session infectée !!!
!!! Démarre sur la session infectée !!!
!!! Démarre sur la session infectée !!!

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)  
[*] Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes  
[*] Lancer RogueKiller.exe.  
[*] Attendre que le Prescan ait fini ...  
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 
[*] Clic sur Suppression. 
Poste le rapport ici. 

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

willkawa61 · Answer

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Maison [Droits d'admin] Mode : Suppression -- Date : 28/04/2013 21:10:46 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 9 ¤¤¤ [RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 3AD4010D79A09C7200003AD3C63FA261 (C:\ProgramData\3AD4010D79A09C7200003AD3C63FA261\3AD4010D79A09C7200003AD3C63FA261.exe) [-] -> SUPPRIMÉ [HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ] HKLM\[...]\Wow6432Node\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0) [HJ] HKLM\[...]\Wow6432Node\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0) [HJ] HKLM\[...]\Wow6432Node\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$db06706e340a7fef799a57168223d7b1\n [-] --> SUPPRIMÉ [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$db06706e340a7fef799a57168223d7b1\@ [-] --> SUPPRIMÉ [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-121425142-3252055901-4085245723-1001\$db06706e340a7fef799a57168223d7b1\@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 00000001.@ : C:\$recycle.bin\S-1-5-18\$db06706e340a7fef799a57168223d7b1\U\00000001.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-18\$db06706e340a7fef799a57168223d7b1\U\80000000.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 800000cb.@ : C:\$recycle.bin\S-1-5-18\$db06706e340a7fef799a57168223d7b1\U\800000cb.@ [-] --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$db06706e340a7fef799a57168223d7b1\U --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-121425142-3252055901-4085245723-1001\$db06706e340a7fef799a57168223d7b1\U --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$db06706e340a7fef799a57168223d7b1\L --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-121425142-3252055901-4085245723-1001\$db06706e340a7fef799a57168223d7b1\L --> SUPPRIMÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess|Rogue.AntiSpy-ST ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST31000528AS +++++ --- User --- [MBR] 859b14385b0a71dc5d0451b2173f123e [BSP] af8df982b9ba1857194f661178e83c7a : Windows Vista/7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 939602 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1924511744 | Size: 14165 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_28042013_211046.txt >> RKreport[1]_S_28042013_210947.txt ; RKreport[2]_D_28042013_211046.txt

Malekal_morte- · Answer

Reviens en mode normal :

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

willkawa61 · Answer

# AdwCleaner v2.300 - Rapport créé le 28/04/2013 à 21:44:40
# Mis à jour le 28/04/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Maison - MAISON-HP
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Maison\Documents\Install\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Ask.com
Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Program Files (x86)\Vuze_Remote
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Users\Maison\AppData\Local\AskToolbar
Dossier Supprimé : C:\Users\Maison\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Maison\AppData\Local\Temp\AskSearch
Dossier Supprimé : C:\Users\Maison\AppData\LocalLow\AskToolbar
Dossier Supprimé : C:\Users\Maison\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Maison\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\Maison\AppData\LocalLow\Vuze_Remote
Dossier Supprimé : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\fcmdSrch.xml
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
Fichier Supprimé : C:\Users\Maison\AppData\Local\Temp\Uninstall.exe

***** [Registre] *****

Clé Supprimée : HKCU\Software\APN
Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\AppDataLow\Software\Vuze_Remote
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\Ask.com
Clé Supprimée : HKCU\Software\AskToolbar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BA14329E-9550-4989-B3F2-9732E92D17CC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{20F1CFE6-C2DA-43D5-BF20-BFEE2B05EA71}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA14329E-9550-4989-B3F2-9732E92D17CC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\Software\APN
Clé Supprimée : HKLM\Software\AskToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Supprimée : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2504091
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\facemoodssrv_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\facemoodssrv_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{20F1CFE6-C2DA-43D5-BF20-BFEE2B05EA71}
Clé Supprimée : HKLM\Software\Vuze_Remote
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{20F1CFE6-C2DA-43D5-BF20-BFEE2B05EA71}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{BA14329E-9550-4989-B3F2-9732E92D17CC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{485F7793-801F-46A8-A050-C8058E29B5D9}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E8FDD5FE-FEB1-40A3-9BA3-68BDF9DC0CB8}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F994E0D9-8335-48F1-99C2-A712C21F8D5F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA14329E-9550-4989-B3F2-9732E92D17CC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Vuze_Remote Toolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{542FA950-C57A-4E17-B3E1-D935DFE15DEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5B035F86-41B5-40F1-AAAD-3D219F30244E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6365AC7B-9920-4D8B-AF5D-3BDFEAC340A8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6A934270-717F-4BC3-BA59-BC9BED47A8D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{74C012C4-00FB-4F04-9AFB-4AD5449D2018}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{78888F8B-D5E4-43CE-89F5-C8C18223AF64}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79B13431-CCAC-4097-8889-D0289E5E924F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8B8558F6-DC26-4F39-8417-34B8934AA459}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8C8D5C57-3CAD-4CF9-BCAD-F873678DA883}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E393F82-2644-4AB6-B994-1AD39D6C59EE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A3A2A5C0-1306-4D1A-A093-9CECA4230002}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C1C2FC43-F042-4F17-AEDB-C5ABF3B42E4B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F7EC6286-297C-4981-9DCC-FD7F57BC24C9}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{BA14329E-9550-4989-B3F2-9732E92D17CC}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{BA14329E-9550-4989-B3F2-9732E92D17CC}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{BA14329E-9550-4989-B3F2-9732E92D17CC}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{BA14329E-9550-4989-B3F2-9732E92D17CC}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16537

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 --> hxxp://www.google.com

*************************

AdwCleaner[S1].txt - [9593 octets] - [28/04/2013 21:44:40]

########## EOF - C:\AdwCleaner[S1].txt - [9653 octets] ##########

willkawa61 · Answer

lien extra: 
 https://pjjoint.malekal.com/files.php?id=20130428_d7r11h135t8

Malekal_morte- · Answer

faut OTL.txt et donne le mot de passe pour que je puisse consulter le rapport.

willkawa61 · Answer

et voici le lien OTL:

https://pjjoint.malekal.com/files.php?id=20130428_b7e13d8o13h8

willkawa61 · Answer

kawasaki

Malekal_morte- · Answer

Désinstalle :
Bingbar
Google Toolbar

Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.      
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.     
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.      
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Les barres d'outils sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire : Les toolbars c'est pas obligatoire! 


~~

Supprime :
C:\ProgramData\3AD4010D79A09C7200003AD3C63FA261 
 

~~

C'est bon :)

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

willkawa61 · Answer

ok merci pour tout 
comment fait tu pour supprimer 
C:\ProgramData\3AD4010D79A09C7200003AD3C63FA261

willkawa61 · Answer

bon impecc merci beaucoup!!

Anlago2013 · Answer

Bonjour,
J'ai le même pb, j'ai essayé de m'en sortir en lisant les solutions proposées, mais là je craque.
Je suis sous Windows 8 et je n'arrive même pas à démarrer en mode sans échec.
Pouvez vous m'aider ?

Anlago2013 · Answer

Merci pour ta réponse mais aurais-je oublié de préciser que je ne suis pas une pro de l'informatique :-) ... (c'est quoi winlogon ?)

Mais presque victoire, je ne sais pas par quel miracle j'ai réussi à retourner sur internet (car avant mes pages étaient bloquées par system care)

Alors RogueKiller téléchargé et exécuté

Voilà le contenu du rapport :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 8 (6.2.9200 ) 64 bits version
Demarrage : Mode normal
Utilisateur : Artemis [Droits d'admin]
Mode : Suppression -- Date : 29/04/2013 12:20:49
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[Rogue.AntiSpy-ST][BLACKLIST] AC9E03C3E7511A950000AC9D572C2025.exe -- C:\ProgramData\AC9E03C3E7511A950000AC9D572C2025\AC9E03C3E7511A950000AC9D572C2025.exe [-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST1000LM024 HN-M101MBB +++++
--- User ---
[MBR] c4f8d8242b715d50d290dc037906308a
[BSP] ea83e08ef8b5dcdb0fc9795f1fb6d3a9 : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 953869 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_29042013_122049.txt >>
RKreport[1]_S_29042013_121935.txt ; RKreport[2]_D_29042013_122049.txt

Qu'en penses tu, est ce que je dois faire d'autres manip supplémentaires ?

Anlago2013 · Answer

Voila le rapport AdwCleaner

# AdwCleaner v2.300 - Rapport créé le 29/04/2013 à 13:33:38
# Mis à jour le 28/04/2013 par Xplode
# Système d'exploitation : Windows 8  (64 bits)
# Nom d'utilisateur : Artemis
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Artemis\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Artemis\AppData\Roaming\pdfforge

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Clé Supprimée : HKLM\SOFTWARE\Classes\S
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{25A3A431-30BB-47C8-AD6A-E1063801134F}]

***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16537

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v26.0.1410.64

Fichier : C:\Users\Artemis\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1293 octets] - [29/04/2013 13:33:38]

########## EOF - C:\AdwCleaner[S1].txt - [1353 octets] ##########



et
le fichier extra.txt :
https://pjjoint.malekal.com/files.php?id=20130429_n12e1111i11z14

le fichier otl.txt
https://pjjoint.malekal.com/files.php?id=20130429_q10k12p6y11j14

Malekal_morte- · Answer

Relance OTL. 
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
[2013/04/29 10:14:23 | 000,000,000 | ---D | C] -- C:\Users\Artemis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus  
[2013/04/29 10:06:31 | 000,000,000 | ---D | C] -- C:\ProgramData\AC9E03C3E7511A950000AC9D572C2025

* redemarre le pc sous windows et poste le rapport ici 
 


Terminé, ensuite sécurise ton PC comme tes collègues précédents : https://forums.commentcamarche.net/forum/affich-27666708-eliminer-system-care-antivirus?page=2#24

Malekal_morte- · Answer

OK c'est le 3e désinfecté par System Care Faux Antivirus, suivant ! 
Chuis chaud là :D  
  
Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

Anlago2013 · Answer

Je suis en train de me poser une question (bête?) est ce que je dois supprimer 
ce fichier sous ProgramData
AC9E03C3E7511A950000AC9D572C2025 ?

Maxxou41 · Answer

Bonjour
Je suis moi aussi infecté par ce virus
Alors un petit 4eme ca te dit?
Moi aussi il me bloque tout
En tous cas merci d avance pour ton aide
Je serai devant mon pc jeudi.
Alle bonne soiree

Malekal_morte- · Answer

Salut Maxxou,

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier. 

!!! Démarre sur la session infectée !!!
!!! Démarre sur la session infectée !!!
!!! Démarre sur la session infectée !!!

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)  
[*] Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes  
[*] Lancer RogueKiller.exe.  
[*] Attendre que le Prescan ait fini ...  
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 
[*] Clic sur Suppression. 
Poste le rapport ici. 

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

snaggy · Answer

Bonsoir, 
bein je croie que je suis le 5eme; pourrez tu m'aidez s'il te plait? 
cordialement

Densate · Answer

Bonjour,  

Ce n'est peut être pas le bon endroit mais j'en profite que Malekal Morte est admin pour lui demander de bien vouloir faire quelque chose pour que je ne reçoive plus les notifications par mail de ce sujet. 

En effet de mon coté, n'étant pas inscrit comme membre du forum je ne pense pas que ce soit possible. 

Merci Malekal et double merci pour ton aide au début de ce sujet. 

Denis

Mathieu · Answer

Bonjour,

Je rencontre le même problème, je viens de faire la première étape (Roguekiller), voici le rapport.
Merci d'avance de votre aide !
Bonne journée !
Mathieu

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Gérard Bray [Droits d'admin]
Mode : Suppression -- Date : 04/05/2013 09:01:29
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD6400AAKS-75A7B2 ATA Device +++++
--- User ---
[MBR] 3d0d4c7eb37749f183544be5811e7ee1
[BSP] 4b59f11fc371874d53edb2cda998bf92 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 78 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31619072 | Size: 595040 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_04052013_090129.txt >>
RKreport[1]_S_04052013_085949.txt ; RKreport[2]_D_04052013_090129.txt

Malekal_morte- · Answer

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

crocjack · Answer

bonjour, 

j'ai choper aussi cette vérole sur mon pc et après avoir rager un peu car plus accès à rien sur le pc, je me suis mis en quète d'info et je suis tombé sur ce forum.
Je tenais à remercier Malekal-morte pour toutes les infos qui vont m'être très utile.
En cherchant comment  virer ce virus j'ai d'abord suivi les conseils que j'ai eu sur la toile de loader spyhunter, ce que j'ai fait. Après le scan, quand j'ai voulu supprimer les menaces, cela m'a renvoyer sur le site pour m'enregistrer et au passage me ponctionner de 35 €. Du coup en fouillant un peu plus je suis arriver ici. je post le rapport ici dès que je l'ai. Merci d'avance

crocjack · Answer

bonjour,

Voici le rapport après avoir scanné et supprimer les menaces avec roguekiller.
A priori plus d'icône de systeme car, dois je continuer les autres opérations?
Par contre il m'a trouvé apparemment une autre vérole du nom de zero accès.
Merci par avance pour votre aide.

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : grosjack [Droits d'admin]
Mode : Recherche -- Date : 12/05/2013 17:54:31
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-3580427100-3627556701-2370832634-1002\$b170b1e5b33cc86e0d63e4d7bed0598e\n [-] --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC\Desktop.ini [-] --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3500830AS ATA Device +++++
--- User ---
[MBR] a74a369e8226bea1b18d0e7854c59e4e
[BSP] 059ad31d6f07daf4d1df0193a846d036 : Windows Vista/7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8197 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16787925 | Size: 468741 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: ST3500830AS ATA Device +++++
--- User ---
[MBR] 30db9a58ae47b2eebeac578fecac3cf9
[BSP] e1794f7646009c83f3ed0587f96860c5 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 476938 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive3: Corsair Flash Voyager USB Device +++++
--- User ---
[MBR] 0a24d2a2546ed5bfa4d3a5229cffd6b4
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 3839 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_S_12052013_175431.txt >>
RKreport[1]_S_12052013_172520.txt ; RKreport[2]_S_12052013_175431.txt

crocjack · Answer

Voici le rapport adwcleaner

https://pjjoint.malekal.com/files.php?id=20130512_h12k10f5l7m14

Urulokiel · Answer

Hello,
C'est une vrai épidémie moi aussi j'ai été infecté. J'ai donc cherché des solutions et suis tombé sur ce forum. j'ai suivi les instructions (je remercie au passage Malekal_morte) :

1 => Roguekiller téléchargé et exécuté
2 => Adw téléchargé et exécuté puis rapport ci-dessous :

# AdwCleaner v2.300 - Rapport créé le 12/05/2013 à 23:56:20
# Mis à jour le 28/04/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Nolwenn et JC - PC-DE-NOLETJC
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Users\Nolwenn et JC\Downloads\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16476

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v26.0.1410.64

Fichier : C:\Users\Nolwenn et JC\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [15522 octets] - [12/05/2013 23:26:20]
AdwCleaner[S2].txt - [1812 octets] - [12/05/2013 23:51:25]
AdwCleaner[S3].txt - [960 octets] - [12/05/2013 23:56:20]

########## EOF - C:\AdwCleaner[S3].txt - [1019 octets] ##########


3 => OTL téléchargé et exécuté avec le script :
lien texte : https://pjjoint.malekal.com/files.php?id=20130513_r15q13l7y6k10
lien extra : https://pjjoint.malekal.com/files.php?id=20130513_p12u15c9j9o11


En fait je me demande si ce que j'ai fait suffit ou faut-il encore faire une analyse ou un scan ou autre ?

Merci bonne soirée.

crocjack · Answer

Bonjour à tous,

Après avoir fait les scans et suppréssions succéssivement de roguekiller, adwcleaner et OTL en mode normal, mon pc à redemarrer et plus aucun icône de systeme car dans la barre des tâches. Par contre roguekiller m'a détécté une autre vérole du nom de zeroaccess... c'est à se taper la tête contre le mur. j'ai suivi le conseil de Malekal et installé malwarebytes-antimalware et lancé le scan mais en mode sans échec ce coup-ci et après avoir détécté zeroaccess j'ai néttoyé. j'èspère ne rien avoir zapper dans la procédure. Je voudrais savoir si malwarebytes est vraiment efficace comme protection car je me tâte pour passer en version pro mais  lorsqu'on cherche un antivirus, on en trouve à la pelle mais dur de faire le tri quand on est une quiche en antivirus. Je remercie par avance ceux qui pourraient donner leur avis. Je vais relancer un scan de malwarebytes ce matin pour vérifier qu'il n'y a plus d'infection.

Bonne journée à tous

moondoor · Answer

Bonjour, Mon ordi est infecté par System Care Antivirus et par spyhunter. J'ai suivi toutes les indications de Malekal. Les icônes ont disparu et tout à l'air "normal" mais quand je vais dans les programmes les deux fichiers apparaissent encore... Voici le rapport de Roguekiller RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : lac [Droits d'admin] Mode : Recherche -- Date : 17/05/2013 15:57:56 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST932042 3AS SATA Disk Device +++++ --- User --- [MBR] d1548aa5b52b4c321cc0eb8229f35fc2 [BSP] 8666ec23798160ee83221cf2021bc5e1 : Windows Vista/7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 290700 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 595763200 | Size: 14241 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 624928768 | Size: 103 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_17052013_155756.txt >> RKreport[1]_S_17052013_155756.txt MERCI POUR VOTRE AIDE !!

Malekal_morte- · Answer

Bonjour, 

Si vous voulez obtenir de l'aide, créé votre propre sujet. 
Néanmoins RogueKiller en suppression devrait vous débarasser du faux antivirus.

Les instructions pour sécuriser son PC : https://forums.commentcamarche.net/forum/affich-27666708-eliminer-system-care-antivirus?page=2#24
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

cccccc · Answer

La meilleure façon de se débarrasser de System Care Antivirus est de le supprimer automatiquement. Tout est fait par un outil antispyware. Vous devez acquérir une application certifiée antimalware qui supprimera le voyou et protéger le système contre les autres infections.  Ce mode de déplacement est également pratique, parce que vous n'avez pas à trouver toutes les composantes de l'escroc et supprimez-les manuellement - l'antispyware qui fait pour vous. Elle supprime uniquement les composants malignes de System Care Antivirus sans causer de dommages au système. Si vous essayez de supprimer le rogue sur vos propres, vous risque de compromettre le système sérieusement qui pourrait se retrouver avec un crash total du système.

Pour supprimer System Care Antivirus de votre système, vous devez l'activer avec cette clé d'enregistrement:

AA39754E-715219CE

Une fois le faux AV est activé, il arrête d'envoyer vous faux notifications de sécurité, et vous pouvez exécuter vos programmes à nouveau. Toutefois, cette amélioration n'est que temporaire, et si vous ne voulez pas passer par les mêmes symptômes, à nouveau, vous devez utiliser de l'enregistrement et supprimer System Care Antivirus à la fois.

Exécuter une analyse complète du système avec SpyHunter gratuit scanner pour vérifier l'emplacement exact des System Care Antivirus de fichiers, si vous voulez supprimer le rogue manuellement. Néanmoins, si vous n'êtes pas un utilisateur expérimenté, vous devez acquérir un programme de sécurité informatique qui éliminerait System Care Antivirus pour vous automatiquement. Faire tout ce qu'il faut pour protéger votre PC contre les menaces graves.

Eliminer System Care Antivirus

45 réponses

Discussions similaires

Newsletters