A propos de System care Antivirus ?

Question

Bonjour, 

il y a 2 jours, l'ordinateur qu'utilisent mes parents (en l'occurence celui-ci) à été infecté par le virus "System Care antivirus".

J'ai fait venir un ami qui apparement l'a supprimé, sauf qu'en parcourant les topics sur ce forum, je me rends comtpe qu'on a pas du tout fait pareil... et je voudrais savoir si c'était grâve : 

Je détail : 

Pour le supprimer si ma mémoire est bonne, on à rentré un "code" dans l'onglet enregistrement du faux antivirus, trouvé sur une soluce sur le net, qui à provoqué le même éffet que  si j'avais fait l'enregistrement (et donc surement le paiement).

Donc il nous à laissé tranquilles, surement pour un laps de temps réduit...
Et on en à profité pour arrêter le processus ainsi que supprimer les fichiers présents dans le dossier qui était "lié" au processus.

Ensuite il à lancé HiJackthis je n'ai aucune idée de pourquoi, puis le logiciel Syp hunter (je crois) pour fair un scan.

Mais étant donné que c'était la version gratuite on ne pouvait que scanner, donc les fichiers en rapport avec System care antivirus, on à été obligé de les supprimer manuellement je ne sais pas si ça pose problème ?

J'ai tendance à stresser pour à peu près tout doc c'est pour ça que je demande, actuellement il ne se manifeste plus au démarrage du pc, j'ai lancé un scan malware byte qui m'a trouvé 3 résultats, je crois que c'était dans le registre, de mémoire ça ressemblait à : 

HKLM/SOFTWARE/Microsoft/security center/antivirus disabled notify

Et les 2 autres résultats étaient les même avec pour différence : firewall et update à la place de antivirus...

J'ai fait supprimé à la fin du scan.


Enfin j'ai encore une question (désolé pour la taille de ma demmande au passage), sur la même box internet est branché un autre pc (le mien en l'occurence) qui était alumé au moment ou l'infection s'est manifestée.

Ma question est : est-il possible que ce virus ait pu se "transferer" par le biais du réseau local de la box, sur l'autre pc ? Car je suis un peu dans le stress à cause de ça, j'ai fait des analyses Avira et Malwarebyte et Ils n'ont rien trouvé, MAIS (^^") l'autre ordi est sous windows 8, et j'avais lu il y a peu que la version d'avira 2013 n'était pas totalement "prête" pour W8, donc est-il possible qu'il passe à coté de virus en tout genre ?

Mis à part ça je n'ai pas plus de processus que d'habitude sur mon pc.

Combien de temps un virus comme "system care antivirus" met il de temps à se "manifester" quand il infecte un pc ? es-ce immédiatement ou lui faut il du temps (plusieurs jours), car pour l'instant il n'y à rien de suspect visuellement parlant sur le pc.

Merci aux réponses et encore désolé pour la taile de mon message ^^"


Configuration: Windows 7 / Internet Explorer 9.0

g3n-h@ckm@n · Accepted Answer

SALUT SPY HUNTER EST UN ROGUE . A NE SURTOUT PAS UTILISER  
 
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

KillMyFriend · Answer

Salut
Quelle aventure ^^

Malheureusement il est actif sans que tu t'en rendes compte

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuie sur la touche entrée du clavier.

Une fois démarré, connecte-toi sur la session infectée

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!  

Cordialement

Aide virus · Answer

Merci pour ta réponse.

J'avais pourtant mis plein d'espaces pour faire un post clair mais ils sont tous partis.


Dois-je obligatoirement redémarrer en mode sans échec, parce qu'il ne montre aucun signe de vie la ?

Aussi, es-ce possible d'avoir une réponse à ma question : 

sur la même box internet est branché un autre pc (le mien en l'occurence) qui était alumé au moment ou l'infection s'est manifestée. 

est-il possible que ce virus ait pu se "transferer" par le biais du réseau local de la box, sur l'autre pc ? Car je suis un peu dans le stress à cause de ça, j'ai fait des analyses Avira et Malwarebyte et Ils n'ont rien trouvé, MAIS (^^") l'autre ordi est sous windows 8, et j'avais lu il y a peu que la version d'avira 2013 n'était pas totalement "prête" pour W8, donc est-il possible qu'il passe à coté de virus en tout genre ? 

Merci

Aide virus · Answer

j'ai déja utilisé spy hunter... je risque quelque chose ??

On l'avait désinstallé mais on à pas eu de message de confirmation, il n'est plus dans la liste des programmes...

KillMyFriend · Answer

Salut

Non, je ne pense pas avec System Care, 
Pour ta deuxième question : je ne sais pas, car les virus ont plusieurs modes de fonctionnement (retardateur, exécution ou une fois téléchargés)
Pour ta troisième question, le mal est déjà fait , des dégâts ont probablement été causés.

MAIS UNE CHOSE A RETENIR : C'EST PAS PARCE QUE ON A UN VIRUS QUE LE PC EST FICHU.

Contente toi de faire ce que te demande g3n-h@ckm@n et tout ira bien =)

Cordialement

afideg · Answer

Salut "Aide virus"

Pour poster tes messages, pourrais-tu systématiquement passer par ce bouton au bas de la page https://www.luanagames.com/index.fr.html  ?
Merci. 
Merci pour les lecteurs.

Comme c'est là (en "commentaires" à une heure antérieure), ça va vite devenir illisible.  ;)

Cordialement.
Al.

Aide virus · Answer

daccord, je m'excuse j'avais peur en faisant répondre à chaque fois de trop vite étoffer le topic :)

Merci, je vais lancer Pre_scan d'un instant à l'autre

g3n-h@ckm@n · Answer

quand tu pourras étoffer le rapport.....^^
ne le lances pas trop loin surtout ! :D

et paf ! dans la gueule !!! ^^
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Aide virus · Answer

ça y'est c'est enfin terminé !

Par contre au redémarrage j'ai un message : La corbeille sur C: est endomagée, Voulez vous vider la corbeille sur ce lecteur ?

J'ai aussi plein d'icones random qui se sont mises sur le bureau
Ma page d'acceuil d'internet a été enlevée, et quand je vais sur une page internet çe me met connection non sécurisée etc...

Que faire ??

Pour le rapport je dois mettre public/privé ? je peux mettre 4 jours pour la durée ?

Merci

Aide virus · Answer

voilà le rapport avec Cjoint : http://cjoint.com/?3EownJJ8ZDI

Aide virus · Answer

pourras tu répondre en même temps à ma question au dessus du post avec le rapport ?

Merci

Ainsi qu'a celle ci : à ton avis, le virus system care antivirus a t'il pu infecter mon pc qui était branché à la même box que le pc qui à été infecté ?

Comment pourrai-je le savoir simplement ? Par exemple les dossiers à controler ?

Merci

g3n-h@ckm@n · Answer

hello

relance l'outil , clique sur diag et heberge le rapport pre_diag et donne le lien

==

 lance cet outil et heberge le rapport Part_Look.txt qui se mettra sur ton bureau

http://www.security-helpzone.com/Tools/g3n/Part_Look.exe

Aide virus · Answer

salut,

je pose une question : 

quand j'ai lancé pre_scan, il a automatiquement démmarré, et je n'ai pas eu à choisir l'option scan/kill qui à été lancée par défaut.

Donc comment puis-je choisir le mode "diag", de plus, il me semble que le fichié (le .exe qu'on lance) c'est lui même placé en quarantaine après le scan , et dois-je re désactiver l'antivirus ?

Merci

KillMyFriend · Answer

Salut

Aide virus a raison, il s'est mis lui même en quarantaine

¤¤¤¤¤¤¤¤¤¤ | Files | Folders | Registry


Deleted : [HKLM\Software\EnigmaSoftwareGroup]

Deleted : [HKLM\..\ControlSet001\Services\ESGIGUARD]
Deleted : [HKLM\..\ControlSet001\Enum\Root\LEGACY_ESGIGUARD]
Deleted : [HKLM\..\ControlSet002\Services\ESGIGUARD]
Deleted : [HKLM\..\ControlSet002\Enum\Root\LEGACY_ESGIGUARD]
Deleted : [HKLM\..\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD]
Moved to quarantine successfully : C:\Users\admin\AppData\Local\Temp\SHSetup.exe
Moved to quarantine successfully : C:\Users\admin\Downloads\LeagueofLegends.exe
Moved to quarantine successfully : C:\Users\admin\Downloads\Silverlight.exe
Moved to quarantine successfully : C:\Users\admin\Downloads\avira_free_antivirus_fr.exe
Moved to quarantine successfully : C:\Users\admin\Downloads\Flyff_FR.exe
Moved to quarantine successfully : C:\Users\admin\Downloads\mbam-setup-1.75.0.1300.exe
Moved to quarantine successfully : C:\Users\admin\Downloads\winlogon.exe

Aide virus · Answer

comment puis-je faire le scan du coup ?

KillMyFriend · Answer

Peux-tu retélécharger Pre_Scan (le winlogon.exe) ?

Si c'est ok, continue comme si rien ne s'était passé.


Cordialement

g3n-h@ckm@n · Answer

à la base je demande qu il soit sur le bureau
et que toutes les protections soient desactivées

il y en a une copie dans c:\pre_scan

Aide virus · Answer

j'ai retéléchargé le winlogon.exe car je ne trouve pas de copie dans C:\ Pre_scan

à moins que ce ne soit Pre_scan_protect.exe

Si je relance le winlogon.exe ça va me proposer un menu d'actions et non pas relancer automatiquement un scan/kill ?

g3n-h@ckm@n · Answer

logiquement oui je l'ai programmé pour ca... 
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Aide virus · Answer

daccord, je le lance de suite alors !

Si jamais ça relance un scan/kill, y'a t'il un moyen d'interrompre le scan ?

Merci

g3n-h@ckm@n · Answer

ctrl+alt+sup => gestionnaire des taches , stoppe le processus pre_scan.exe ( ou winlogon.exe => celui ou il est marqué ton num d'utilisateur devant , par celui ou il est marqué système ) via le clic droit dessus.

ensuite onglet fichier , nouvelle tache , tape explorer
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Aide virus · Answer

re

voilà le rapport pre_diag : http://cjoint.com/?3Eps6GulPiT

/!\ PAR CONTRE je ne peux plus acceder à mon antivirus, enfin tout est comme si de rien était, sauf que quand je double clique sur l'icone pour par exemple le mettre à jour etc, j'ai un message d'érreur : C:/Windows\WinSxs\x86\microsoft.windows... ... .dll n'est pas conçu pour s'éxecuter sous Windows ou il contient une erreur.
Installez à nouveau ce programme à l'aide du support d'installation etc...

J'ai aussi une mise à jour windows en attente, de 6,3 MO
-Outil de suppression des logiciels malveillants Windows - Mai 2013 (KB890830)

Dans la description ça dit que ça s'execute une foi après téléchargement pour controler la presence de logiciels malveillants (blaster, sasser et mydoom nottement)

C'est bien une vraie mis à jour windows ?? car je ne m'étonne plus de rien ^^"

g3n-h@ckm@n · Answer

je peux avoir le message exact ?

Aide virus · Answer

oui 

C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\COMCTL32.dll n'est pas conçu pour s'éxecuter sous windows ou il contient une erreur.
Installez à nousveau le programme à l'aide su support d'installation d'origine, ou bien contactez votre administrateur système ou le fournisseur du logiciel pour obtenir du support.

J'ai aussi modifié mon message juste au dessus à propos d'une mise à jour windows

g3n-h@ckm@n · Answer

desinstalle - reinstalle l antivirus

Aide virus · Answer

ok, je vais en profiter pour mettre le 2013.

Au niveau des rapports pre_scan/diag ça donne quoi sur l'état du pc ?


J'en profite pour te poser (encore !) une question ^^"

KillMyFriend avait déja donné son avis en page 1 (dailleurs si tu me lis je t'en remercie :) )

Penses tu, que mon pc qui était branché sur la box au moment de la manifestation du virus, ait pu être infecté par ce même virus ?

A savoir que le virus, s'est manifesté pendant que mes parents surfaient sur internet, ils m'ont appelé, j'ai paniqué, et environ 1 minute plus tard j'ai coupé internet, enfin j'ai fait en sorte que mon pc ne soit plus en "contact" avec celui ci (parano spotted)

depuis, (mis à part le lendemain après que mon pote ait apparement supprimé le virus) ils n'ont étés connectés qu'une fois en même temps, le temps que je fasse les mises à jours Avira et malware byte sur le pc malade pour lancer des analyses (qui dailleurs n'ont rien données mis à part 3 résultats sur Mbam dans le registre je crois)

Donc je te demmande ton avis, si pour toi il est possible que ce virus, a savoir system care antivirus ait pu infecter mon ordinateur (auquel cas je cours me suicider ^^") qui je le rappel est sous Windows 8.

Petite précision, je n'ai pas fait de "groupe résidentiel" entre les 2 pc (du moins je pense).

Enfin, que dois-je faire pour le message que j'ai avec internet explorer à chaque fois que je change de page internet (depuis le scan pre_scan en scan/kill) à savoir : "la connection que vous utilisez n'est pas sécurisée. D'autres utilisateurs du Web pourront dorénavant accèder à des informations que vous envoyez, voulez vous continuer ?"


Voilà, je lirais probablement ta réponse demain en fin d'apres midi, c'est même certain :)

Merci beaucoup, en ésperant ne pas (trop) te dérranger ;)

g3n-h@ckm@n · Answer

"la connection que vous utilisez n'est pas sécurisée. 

tu coches la case et tu fais OK

==

https://forums.commentcamarche.net/forum/affich-27808070-a-propos-de-system-care-antivirus?page=2#39

oui c est un vrai mise à jour faut pas etre parano non plus
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Aide virus · Answer

"tu coches la case et tu fais OK "

Merci :) , j'avoue que je m'attendais à plus grâve quand à la confidentialitée :p



"oui c est un vrai mise à jour faut pas etre parano non plus "

Oui je crois que c'est justement mon gros problème ^^"


J'attends ta réponse sur la "contamination via réseau" (mon mini pavé du desus )


Merci beaucoup et bonne soirée à toi ;)

g3n-h@ckm@n · Answer

c'est pas une infection qui se transmet via reseau

Aide virus · Answer

je te remercie.

Mis à part la réinstallation d'anti virus, il faudra que je fasse autre chose par rapport aux "rapports" que j'ai posté ?

g3n-h@ckm@n · Answer

dis deja si ca fonctionne ca.... 
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Aide virus · Answer

bon voilà j'ai remplacé l'antivirus par la version 2013

apparement c'est nouveau, on télécharge un .exe de 2 Mo qui lance une fenetre qui télécharge les fichiers de l'antivirus sur l'ordi.

Il m'a juste dit que Mbam Pro (j'ai que la version simple pourtant) et avira desktop (que j'avais désinstallé avant) pouvaient provoquer des conflits mais je garde Mbam

Bref ça à l'air de fonctionner.

J'attends ta réponse :)

g3n-h@ckm@n · Answer

https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#avira-antivir

Aide virus · Answer

merci pour l'astuce :)


Je peux te demander ce que tu penses des rapports pre_scan et diag que j'avais posté ?

Autre info, j'ai eu la confirmation que le pc a bien choppé ce virus en allant sur une page internet en particulier, et donc que l'infection s'est déclenchée immédiatement

g3n-h@ckm@n · Answer

il te reste des soucis?

Aide virus · Answer

ben à première vu rien qui cloche.

De ton coté d'après ce que tu à pu voir tout te semble bon ?

Au niveau de spy hunter que j'avais (malheuresement) utilisé, il me reste un dossier je peux le supprimer je pense ?

Aussi, comment suis-je censé retirer Pré_scan de l'ordinateur ?

Je suis tout à ton écoute concernant une éventuelle utilisation de logiciels du genre "Adwcleaner" ( je ne sais même pas si j'ai bien retenu les noms désolé ^^")

Bonne soirée

g3n-h@ckm@n · Answer

pour spy hunter , tu peux virer le dossier , le service n est plus actif 

ensuite tu peux faire ce menage :

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

Aide virus · Answer

ok merci,

donc je suppose qu'il ne reste plus grand chose de system care non plus

Par contre en étant sur internet la, j'ai parcouru rapidement le forum malekal, et j'ai un message (petite fenetre au milieu de l'écran) : Voulez vous installer ce logiciel : Nom adobe flash player
Alors que quand j'ai allumé le pc j'ai aussi eu une fenetre (la noire avec le logo adobe en haut) pour me dire qu'il y a une mise à jour de flash player dispo


Comment savoir si c'est safe, en particulier celle qui apparait sur un site web ?

je te remercie :)

Aide virus · Answer

Bon, tu va me prendre pour un immonde attardé et t as raison

A propos des mises a jour adobe la premiere c est bien passée mais j en ai eu une seconde sur le forum malekal ou je lisait les astuces
J en ai profité pour demander et j ai posté une photo et on m a dit que je pouvais la faire
Ce que j ai fait et j ai tout de suite remarqué le nom bizare du processus : FP_AX_CAB_INSTALLER64.exe
Et actuellement j ai des trcucs java qui s executent...

J ai coupé le pc d internet car je sais pas ce que je risque
J en viens meme a penser qu on m en envoie volontairement...

Je suis sur un telephone la c est assez lent

J en ai meme peur d aller sur mon propre pc, crois tu que quelqu un peut evoyer un virus sur mon pc ? J hesite meme a l allumer quoi

J envisage meme le formatage pour celui ci

Bref je te remercie une fois de plus pour ton aide
J ai fait le c*n

g3n-h@ckm@n · Answer

re

la parano est un vilain defaut lol ^^

A propos de System care Antivirus ? - Page 2

Discussions similaires

Newsletters