System care antivirus Résolu/Fermé

Question

Bonjour, mon ordinateur est infecté par System care antivirus. Après avoir été sur différents forums, j'essaie de démarrer en mode sans échec mais lorsque mon mot de passe m'ait demandé, l'ordinateur repasse automatiquement en mode normal avec bien sûr lancement de System care.
Je suis sous Windows 7 et je cherche désespérément comment m'en sortir.
Merci

g3n-h@ckm@n · Answer

salut

tu as accès à internet malgré tout ?

natdestmed · Answer

Oui sur un autre pc.
et à force de bidouiller dans tous les sens j'ai réussi à lancer ma session sans que cette sal... ne s'ouvre ! Je suis donc aller supprimer le répertoire f... dans program data et j'ai lancé malwarebytes . Pour l'instant ça mouline.
Du coup je ne sais pas si je suis en mode sans échec ou normal
Merci

g3n-h@ckm@n · Answer

toutes facons faudra traiter en bonne et due forme :) 
  
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤ 
Windows 8 => meme flop que Vista X 10

natdestmed · Answer

Tu me conseilles quoi ? Je laisse tourner ? Pour l'instant aucun élément détecté ...

g3n-h@ckm@n · Answer

oui laisse tourner pour l instant , un fois fini supprime tout ce qu il a trouvé si positif , puis colle le contenu du rapport ici

natdestmed · Answer

C fait voila le rapport

et merci encore de ton aide

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.02.06

Windows 7 Service Pack 1 x64 FAT32
Internet Explorer 9.0.8112.16421
Nat :: MAISON [administrateur]

Protection: Désactivé

03/05/2013 15:43:57
MBAM-log-2013-05-03 (17-25-05).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 446387
Temps écoulé: 1 heure(s), 22 minute(s), 46 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|FA4B90A66A5FB61A0000FA4A965FBA00 (Trojan.FakeAlert.SSGen) -> Données: C:\ProgramData\FA4B90A66A5FB61A0000FA4A965FBA00\FA4B90A66A5FB61A0000FA4A965FBA00.exe -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

g3n-h@ckm@n · Answer

ok de la session infectée :

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

natdestmed · Answer

Merci bcp, je fais ça demain et je reviens vers toi dés que possible
Bonne soirée

natdestmed · Answer

Bonjour, je viens de finir PreScan. Tous s'est bien passé. Ci dessous le lien :
https://www.cjoint.com/?0EerMduVAMO

A très vite

g3n-h@ckm@n · Answer

re

relance l'outil , clique sur diag et heberge le rapport pre_diag et donne le lien

natdestmed · Answer

C fait et voila le lien
http://www.cjoint.com/?3EgmCbCmw2j

C grave docteur ?

g3n-h@ckm@n · Answer

selectionne ce texte , puis CTRL + C :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
[HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[iTunesHelper]
[HKU\S-1-5-21-819639659-4150350305-585420797-1001\Software\VIO ;)] 
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD]

File|Fold::
C:\Users\Nat\AppData\Roaming\Mozilla\Firefox\Profiles\unkktzee.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}.xpi     
C:\windows\22B3AE667A374118BADB3680C15CA366.TMP 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Agent Serveur Média.lnk 

Clean::

MBR::

Reboot:: 
 
Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

natdestmed · Answer

Bjour, ci-dessous le rapport Pre-Script. Comme les fois précédentes tout s'est passé comme tu l'as prévu .

Merci bcp
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0426 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Nat : Windows 7 Home Premium (64 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

New restorepoint created

Script : 07:32:09

Boot : Normal  

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(820) -- nvvsvc.exe
(1312) -- NvXDSync.exe
(1324) -- nvvsvc.exe
(1416) -- spoolsv.exe
(1728) -- armsvc.exe
(1776) -- AppleMobileDeviceService.exe
(1852) -- devmonsrv.exe
(1884) -- mDNSResponder.exe
(1936) -- CanalPlus.VOD.exe
(1072) -- EvtEng.exe
(1676) -- ijplmsvc.exe
(1268) -- installclick.exe
(1240) -- mbamscheduler.exe
(2200) -- RegSrvc.exe
(2228) -- RichVideo.exe
(2260) -- SamsungDeviceConfiguration.exe
(2280) -- twonkymediaserverwatchdog.exe
(2320) -- c2c_service.exe
(2348) -- wlanext.exe
(2356) -- conhost.exe
(2616) -- SWMAgent.exe
(2804) -- obexsrv.exe
(3588) -- taskhost.exe
(3704) -- explorer.exe
(3920) -- taskeng.exe
(3448) -- YCMMirage.exe
(3684) -- dmhkcore.exe
(3696) -- EasySpeedUpManager.exe
(3740) -- MovieColorEnhancer.exe
(3796) -- SmartSetting.exe
(3904) -- igfxext.exe
(3208) -- mediasrv.exe
(1216) -- SearchIndexer.exe
(2116) -- rundll32.exe
(3720) -- CommonAgent.exe
(2160) -- SamoyedAgent.exe
(4500) -- RAVCpl64.exe
(4684) -- ETDCtrl.exe
(4692) -- rundll32.exe
(4748) -- BJMYPRT.EXE
(4796) -- FacebookUpdate.exe
(4908) -- iCloudServices.exe
(4928) -- ApplePhotoStreams.exe
(4980) -- twonkymediaserverconfig.exe
(5076) -- ETDCtrlHelper.exe
(5088) -- btplayerctrl.exe
(4472) -- wmpnetwk.exe
(2504) -- WCScheduler.exe
(4332) -- APSDaemon.exe
(4404) -- AllShareAgent.exe
(5132) -- CNSEMAIN.EXE
(5164) -- CNMNSST.exe
(5232) -- iTunesHelper.exe
(5248) -- jusched.exe
(5292) -- bmagent32.exe
(5520) -- iPodService.exe
(6024) -- splwow64.exe
(5480) -- CNSEUPDT.EXE
(268) -- CLMLSvc.exe
(2292) -- Media+Player10Serv.exe
(5996) -- hkcmd.exe
(704) -- igfxpers.exe
(5820) -- BTHSAmpPalService.exe
(852) -- BTHSSecurityMgr.exe
(3220) -- LMS.exe
(5896) -- daemonu.exe
(2300) -- AllShareDMS.exe
(4784) -- WLIDSVC.EXE
(1336) -- WLIDSVCM.EXE
(6472) -- UNS.exe
(6792) -- OSPPSVC.EXE
(3584) -- CANAL+ CANALSAT A LA DEMANDE.exe
(1028) -- taskeng.exe
(5340) -- SearchProtocolHost.exe
(7476) -- SearchFilterHost.exe
(6684) -- installclick-connector.exe
(1480) -- conhost.exe

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions



¤


¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Home Premium Edition
Windows Information:		Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer:	SAMSUNG ELECTRONICS CO., LTD.
BIOS Manufacturer:		Phoenix Technologies Ltd.
System Manufacturer:		SAMSUNG ELECTRONICS CO., LTD.
System Product Name:		300E4A/300E5A/300E7A/3430EA/3530EA
Logical Drives Mask:		0x0000001c

Analysis of file "C:\Pre_Scan\MBR.bin":
Unknown MBR code


64 bits Not supported by MBR.exe , Dump : C:\Pre_Scan\MBR.Bin

¤


¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

FreeSpace : 35784

Cleaning disk...

FreeSpace : 41981

¤


¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 07:33:49

g3n-h@ckm@n · Answer

re  

sauf que t'as du oublier de desactiver protections ou autre car rien n'a ete supprimé

natdestmed · Answer

ET là c mieux ?

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0426 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Nat : Windows 7 Home Premium (64 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

New restorepoint created

Script : 07:32:09

Boot : Normal  

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(820) -- nvvsvc.exe
(1312) -- NvXDSync.exe
(1324) -- nvvsvc.exe
(1416) -- spoolsv.exe
(1728) -- armsvc.exe
(1776) -- AppleMobileDeviceService.exe
(1852) -- devmonsrv.exe
(1884) -- mDNSResponder.exe
(1936) -- CanalPlus.VOD.exe
(1072) -- EvtEng.exe
(1676) -- ijplmsvc.exe
(1268) -- installclick.exe
(1240) -- mbamscheduler.exe
(2200) -- RegSrvc.exe
(2228) -- RichVideo.exe
(2260) -- SamsungDeviceConfiguration.exe
(2280) -- twonkymediaserverwatchdog.exe
(2320) -- c2c_service.exe
(2348) -- wlanext.exe
(2356) -- conhost.exe
(2616) -- SWMAgent.exe
(2804) -- obexsrv.exe
(3588) -- taskhost.exe
(3704) -- explorer.exe
(3920) -- taskeng.exe
(3448) -- YCMMirage.exe
(3684) -- dmhkcore.exe
(3696) -- EasySpeedUpManager.exe
(3740) -- MovieColorEnhancer.exe
(3796) -- SmartSetting.exe
(3904) -- igfxext.exe
(3208) -- mediasrv.exe
(1216) -- SearchIndexer.exe
(2116) -- rundll32.exe
(3720) -- CommonAgent.exe
(2160) -- SamoyedAgent.exe
(4500) -- RAVCpl64.exe
(4684) -- ETDCtrl.exe
(4692) -- rundll32.exe
(4748) -- BJMYPRT.EXE
(4796) -- FacebookUpdate.exe
(4908) -- iCloudServices.exe
(4928) -- ApplePhotoStreams.exe
(4980) -- twonkymediaserverconfig.exe
(5076) -- ETDCtrlHelper.exe
(5088) -- btplayerctrl.exe
(4472) -- wmpnetwk.exe
(2504) -- WCScheduler.exe
(4332) -- APSDaemon.exe
(4404) -- AllShareAgent.exe
(5132) -- CNSEMAIN.EXE
(5164) -- CNMNSST.exe
(5232) -- iTunesHelper.exe
(5248) -- jusched.exe
(5292) -- bmagent32.exe
(5520) -- iPodService.exe
(6024) -- splwow64.exe
(5480) -- CNSEUPDT.EXE
(268) -- CLMLSvc.exe
(2292) -- Media+Player10Serv.exe
(5996) -- hkcmd.exe
(704) -- igfxpers.exe
(5820) -- BTHSAmpPalService.exe
(852) -- BTHSSecurityMgr.exe
(3220) -- LMS.exe
(5896) -- daemonu.exe
(2300) -- AllShareDMS.exe
(4784) -- WLIDSVC.EXE
(1336) -- WLIDSVCM.EXE
(6472) -- UNS.exe
(6792) -- OSPPSVC.EXE
(3584) -- CANAL+ CANALSAT A LA DEMANDE.exe
(1028) -- taskeng.exe
(5340) -- SearchProtocolHost.exe
(7476) -- SearchFilterHost.exe
(6684) -- installclick-connector.exe
(1480) -- conhost.exe

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions



¤


¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Home Premium Edition
Windows Information:		Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer:	SAMSUNG ELECTRONICS CO., LTD.
BIOS Manufacturer:		Phoenix Technologies Ltd.
System Manufacturer:		SAMSUNG ELECTRONICS CO., LTD.
System Product Name:		300E4A/300E5A/300E7A/3430EA/3530EA
Logical Drives Mask:		0x0000001c

Analysis of file "C:\Pre_Scan\MBR.bin":
Unknown MBR code


64 bits Not supported by MBR.exe , Dump : C:\Pre_Scan\MBR.Bin

¤


¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

FreeSpace : 35784

Cleaning disk...

FreeSpace : 41981

¤


¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 07:33:49

Merciiii

g3n-h@ckm@n · Answer

regarde dans c:\ celui-ci c'est le rapport qui ne s'est pas supprimé...

natdestmed · Answer

J'ai trouvé ça ? Par contre mon touchpad ne fonctionne plus, c'est normal ? Mais ça fonctionne tjrs avec une souris
Merci encore

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0426 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Nat : Windows 7 Home Premium (64 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs



New restorepoint created

Script : 17:19:05

Boot : Normal  

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 17:19:05

natdestmed · Answer

C re-moi. Laisse tomber pour le touchpad, il m'a fait un coup de calgon. J'ai redémarré et tout va bien.
Bonne journée

LE GONE 07 · Answer

Bonjour à tous j'avais un pc infecté avec "systeme care antivirus" ... qui bloquait tous les softs de windows , même la wifi , antimalware , et aussi microsoft security essential ... 
En relation Skype depuis Quebec, mon gendre m'a aidé ... et finalement ce fut assez simple pour s'en débarrasser ... description :
1 ) Demarrer le PC en mode "sans echec avec prise en charge réseau" en appuyant   F8 par petits coups 
2 ) relier le PC par une liaison Ethernet (fil internet au lieu de la WIFI qui ne fontionne pas )
3 ) rechercher sur internet https://forums.malwarebytes.com/topic/106906-removal-instructions-for-antivirus-protection/ ... telecharger Antimalware ou ses dernières mises a jour 
4 ) faire tourner Antimalware ...
5 )  supprimer ce qui est infecté (ceux qui sont pré-cochés )
6 ) redémarrer le PC en mode normal ! Tout remarche !

Je vous le dis , mon gendre est un bon ... il bosse dans pro de la micro informatique !

Bien amicalement 

Daniel

g3n-h@ckm@n · Answer

y'a un truc qui va pas , tu ne fais pas bien

natdestmed · Answer

Bon j'ai tout refait, et le resultat semble identique. Je te précise que j'avais bien désactivé l'antivirus. Si c'est pas correct dis moi ce qu'il faut que je fasse. Merci de ton aide précieuse

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0426 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Nat : Windows 7 Home Premium (64 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

New restorepoint created

Script : 12:16:35

Boot : Normal  

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 12:16:35

g3n-h@ckm@n · Answer

tu as mis les rapports sous 4 jours sur cjoint , résultat , je ne peux plus rien controler en relisant !

natdestmed · Answer

Oups désolée les revoila !

http://www.cjoint.com/?CEkoS3cHoUw

http://www.cjoint.com/?CEkoUr6SzIN

g3n-h@ckm@n · Answer

est-ce que tu desactives bien antivir pour le script  ?

natdestmed · Answer

Oui oui

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

natdestmed · Answer

voila

http://www.cjoint.com/?CElh71pGZRc

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKU\S-1-5-21-819639659-4150350305-585420797-1001\..\SearchScopes\{6CA80AA6-C06F-4D4F-9F0C-8387A26386C1}: "URL" = http://www.search.ask.com/?l=dis{searchTerms}&locale=&apn_ptnrs=HN&apn_dtid=YYYYYYYYFR&apn_uid=394CFBDD-4AA1-4AC5-939A-9DE5E43720C7&apn_sauid=F38D4BAB-E930-4A60-91B4-0293AED151FF 
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_6_602_180.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.


:Reg
[-HKU\S-1-5-21-819639659-4150350305-585420797-1001\Software\VIO ;)] 

:Files
C:\Users\Nat\AppData\Roaming\Mozilla\Firefox\Profiles\unkktzee.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}.xpi
C:\windows\22B3AE667A374118BADB3680C15CA366.TMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Agent Serveur Média.lnk 

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

natdestmed · Answer

voila le rapport 


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-819639659-4150350305-585420797-1001\Software\Microsoft\Internet Explorer\SearchScopes\{6CA80AA6-C06F-4D4F-9F0C-8387A26386C1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6CA80AA6-C06F-4D4F-9F0C-8387A26386C1}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\Locked not found.
========== REGISTRY ==========
Registry key HKEY_USERS\S-1-5-21-819639659-4150350305-585420797-1001\Software\VIO ;)\ not found.
========== FILES ==========
File\Folder C:\Users\Nat\AppData\Roaming\Mozilla\Firefox\Profiles\unkktzee.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}.xpi not found.
File\Folder C:\windows\22B3AE667A374118BADB3680C15CA366.TMP not found.
File\Folder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Agent Serveur Média.lnk not found.
========== COMMANDS ==========
Restore point Set: OTL Restore Point
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57472 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Nat
->Temp folder emptied: 443458 bytes
->Temporary Internet Files folder emptied: 172394310 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 116353221 bytes
->Google Chrome cache emptied: 24217414 bytes
->Flash cache emptied: 105030 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 27646 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67977 bytes
RecycleBin emptied: 1117427094 bytes
 
Total Files Cleaned = 1 365,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 05112013_211054

Files\Folders moved on Reboot...
C:\Users\Nat\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\Nat\AppData\Local\Temp\~DF3C1CA4AE62A3AF6E.TMP not found!
C:\Users\Nat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRF{775B90D9-39AC-4829-85E1-E90530975003}.tmp moved successfully.
File\Folder C:\Users\Nat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{4E841362-0E64-4E88-AEBF-9BDDAA847117}.tmp not found!
File\Folder C:\Users\Nat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{8192E1EC-87E2-4A1B-A215-49DDCA9DAFDC}.tmp not found!
File\Folder C:\Users\Nat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{A624D784-0CBD-46DE-989D-AAF370F94E98}.tmp not found!
File\Folder C:\Users\Nat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{D5BE8400-D85F-42BF-9241-007A3CDDA429}.tmp not found!
File\Folder C:\Users\Nat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{DF4B9A75-31F0-458A-9052-F10DDA17A4CF}.tmp not found!
File\Folder C:\Users\Nat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{E20D5BB8-66ED-482A-ADDE-D1ABC07A6290}.tmp not found!
File\Folder C:\Users\Nat\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\E5CAEB12.png not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

g3n-h@ckm@n · Answer

tu l'as fait plusieurs fois ?

natdestmed · Answer

Non, une seule fois. Pkoi, y a un souci ?

g3n-h@ckm@n · Answer

non ca veut dire que le script avec pre_scan a quand meme fonctionné ^^

==

quels soucis persistent ?

natdestmed · Answer

Bonsoir, non non pour moi tout va bien maintenant. Plus de soucis. Je te remercie encore de ton aide, de ton efficacité et de ta patience. 
Bonne continuation

g3n-h@ckm@n · Answer

re

finis avec un grand menage :)

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

natdestmed · Answer

Ca y est j'ai fini le ménage. Tout semble bien propre. Je te renouvelle mes remerciements.

g3n-h@ckm@n · Answer

:)

nonolanimal · Answer

Bonjour, j'ai eu le même problème et n'y connaissant pas trop en info j'ai fini par me débrouiller :

- 1ere étape installer Spyhunter, il va scanner et bloquer le virus, problème : une fois le scan terminé vous devez activer la license pour enlever le virus.

- 2eme étape : n'activez pas Spyhunter, télécharger Ad-aware antivirus, ce logiciel scan et retire le virus proprement et c'est fini !

- 3eme étape : vous allez me dire : pourquoi ne pas installer Ad-aware antivirus directement ? Tout simplement parceque le virus bloque l'installation mais en installant Spyhunter avant, c'est tout bon...

Bye !

g3n-h@ckm@n · Answer

lol ^^

spyhunter => rogue
ad-aware => il detecte pas un elephant dans un couloir

tu as viré un rogue pour en mettre un autre forcement les infections se mangent entre elles ^^

ton pc est encore infecté mais ne t'inquiete pas il y a des outils pour virer spyhunter le voleur , tu devrais ouvrir un nouveau sujet

mdr !!! spyhunter ^^ 
j'espere que tu l'as pas payé par carte bleue sinon avertis ta banque que tu risques de te faire debiter souvent ^^
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Natdestmed · Answer

Et tu peux lui faire confiance il sait de quoi il parle !
Merci encore mon micro se porte bien et donc moi aussi !!!

Inconnu · Answer

Bonjour, j'ai Advanced System Care sur mon PC depuis longtemps, est-ce que c'est le vrai Advanced System Care qui infecte ces utilisateurs ou c'est juste un mec qui a utiliser le nom là pour faire bonne impression?

System care antivirus

40 réponses

Discussions similaires