systeme care antivirus ... 1 casse tete pour l'enleverRésolu/Fermé

Question

Bonjour, Systeme care s'est installé ce matin sur le pc de mon mari lors d'une visite sur le site freelance info. j'ai d'abord regardé sur comment ca marche et j'ai trouvé les conseils de Malekal_morte ... entre temps un ami m'a conseillé d'utiliser SpyHunter ... mais je n'arrive pas à le lancer. Alors je reviens sur ce forum pour voir si quelqu'un peut m'aider. Configuration: Windows XP / Internet Explorer 7.0 J'ai déja fait le scan de RogueKiller. Voici le rapport : RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Pascal [Droits d'admin] Mode : Suppression -- Date : 07/06/2013 13:37:04 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 5 ¤¤¤ [RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 1831941BEEAD68C3000018317BEF6DBE (C:\Documents and Settings\All Users\Application Data\1831941BEEAD68C3000018317BEF6DBE\1831941BEEAD68C3000018317BEF6DBE.exe) [-] -> SUPPRIMÉ [Services][ROGUE ST] HKLM\[...]\ControlSet001\Services\MEMSWEEP2 (C:\WINDOWS\system32\55.tmp) [x] -> SUPPRIMÉ [Services][ROGUE ST] HKLM\[...]\ControlSet002\Services\MEMSWEEP2 (C:\WINDOWS\system32\55.tmp) [x] -> SUPPRIMÉ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD1600JS-75NCB1 +++++ --- User --- [MBR] e0a0832ccb8a920b2926fff00448f079 [BSP] 39455ba6395629b75de731ab4fc31c0d : MBR Code unknown Partition table: 0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 47 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 96390 | Size: 49465 Mo 2 - [XXXXXX] UNKNOWN (0xdb) [VISIBLE] Offset (sectors): 306198900 | Size: 3074 Mo 3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 101402280 | Size: 99998 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_07062013_133704.txt >> RKreport[1]_S_07062013_133524.txt ; RKreport[2]_D_07062013_133704.txt

juju666 · Answer

Salut,

SpyHunter est une arnaque.
RogueKiller a l'air d'avoir bien bossé mais fait ce qui suit pour contrôle.

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Quand la fenêtre apparaît, Coche la case Tous les utilisateurs
&#9654 Coche les cases à coté de Recherche Lop et Recherche Purity.
&#9654 Laisse tous les autres paramètres par défaut 

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%LocalAppData%\*
%LocalAppData%\*. 
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig 
netsvcs 
BASESERVICES
safebootminimal
safebootnetwork 
CREATERESTOREPOINT
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur cjoint et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE RAPPORT ICI 
 
A+

Ninepass · Answer

Voici le rapport OTL.txt 
http://cjoint.com/?3FhpbDN6f4a
 et comme rien ne marche jamais comme il faut avec moi, je n'ai pas eu de extra.txt
bonne lecture ;)

juju666 · Answer

Normal c'est le deuxième lancement d'OTL sur cette machine. 
Par contre ça me plait pas trop de voir "combofix" sur ta machine.
Tu l'as lancé de ta propre initiative ? Tu te fais aider ailleurs, ou t'es déjà fait aidé quelque part ?  
 
Y'a pas mal de boulot à faire sur cette machine :/
Commence par désinstaller : 

- Adobe Reader 9 (pas à jour)
- Viewpoint
- Spybot - Search & Destroy    (sert à rien)

La suite, dans l'ordre :

~~

Relance OTL, sous personnalisation colle ça :


:OTL
[2013/06/07 10:18:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Pascal\Menu Démarrer\Programmes\System Care Antivirus      
[2013/06/07 10:10:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\1831941BEEAD68C3000018317BEF6DBE 
[2012/03/08 11:58:06 | 000,448,588 | ---- | C] () -- C:\Program Files\Search Settings.rar 

:Reg
[-HKEY_LOCAL_MACHINE\Software\mvvgqsyd]      

:Commands
[EMPTYTEMP]


Click CORRECTION, le pc va redémarrer, poste le rapport qui s'ouvrira.

~~

&#9654 Télécharge sur cette page: AdwCleaner (de Xplode) 

&#9654 Lance-le

clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

A+

Ninepass · Answer

All processes killed ========== OTL ========== C:\Documents and Settings\Pascal\Menu Démarrer\Programmes\System Care Antivirus folder moved successfully. Folder C:\Documents and Settings\All Users\Application Data\1831941BEEAD68C3000018317BEF6DBE\ not found. C:\Program Files\Search Settings.rar moved successfully. C:\Program Files\Spybot - Search & Destroy\Plugins folder moved successfully. C:\Program Files\Spybot - Search & Destroy\Help folder moved successfully. C:\Program Files\Spybot - Search & Destroy folder moved successfully. C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery folder moved successfully. C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Logs folder moved successfully. C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy folder moved successfully. ========== REGISTRY ========== Registry key HKEY_LOCAL_MACHINE\Software\mvvgqsyd\ deleted successfully. ========== FILES ========== [color=#A23BEC]< DIR "%ProgramFiles%\system" /S >> "C:\Documents and Settings\Pascal\Bureau apport2.txt" /C >[/color] Le volume dans le lecteur C n'a pas de nom. Le num'ro de s'rie du volume est 182C-68C3 R'pertoire de C:\Program Files\system 21/12/2011 10:38 . 21/12/2011 10:38 .. 20/06/2010 11:47 65ÿ536 layout.dat 20/06/2010 11:47 7ÿ120 plugins.set 20/06/2010 12:48 WinConfig 2 fichier(s) 72ÿ656 octets R'pertoire de C:\Program Files\system\WinConfig 20/06/2010 12:48 . 20/06/2010 12:48 .. 20/06/2010 12:52 72 CdInfoDialog.set 20/06/2010 12:48 13 CommonOffflinePresetTab.set 20/06/2010 12:48 13 SamplerConfigDialog.set 20/06/2010 12:48 13 SamplerSetupTab.set 20/06/2010 12:54 15 TopWin.set 20/06/2010 12:51 75 WriteCdDialog.set 6 fichier(s) 201 octets Total des fichiers list'sÿ: 8 fichier(s) 72ÿ857 octets 5 R'p(s) 2ÿ417ÿ721ÿ344 octets libres C:\Documents and Settings\Pascal\Bureau\cmd.bat deleted successfully. C:\Documents and Settings\Pascal\Bureau\cmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrateur ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 102954 bytes ->Flash cache emptied: 348 bytes User: NetworkService ->Temp folder emptied: 116916 bytes ->Temporary Internet Files folder emptied: 172738 bytes User: Pascal ->Temp folder emptied: 47452162 bytes ->Temporary Internet Files folder emptied: 23027293 bytes ->Java cache emptied: 7468478 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 475 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 19569 bytes %systemroot%\System32 .tmp files removed: 3072 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 664 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 163043650 bytes %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes RecycleBin emptied: 2360 bytes Total Files Cleaned = 230,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 06072013_165626 Files\Folders moved on Reboot... File\Folder C:\Documents and Settings\Pascal\Local Settings\Temp\~DF7468.tmp not found! File\Folder C:\Documents and Settings\Pascal\Local Settings\Temp\~DF7473.tmp not found! File\Folder C:\Documents and Settings\Pascal\Local Settings\Temp\~DF74CB.tmp not found! File\Folder C:\Documents and Settings\Pascal\Local Settings\Temp\~DF74D6.tmp not found! C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\Content.IE5\ZEPPHG6D\fastbutton[1].htm moved successfully. C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\Content.IE5\ZEPPHG6D\like[1].htm moved successfully. C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\Content.IE5\T3T31PQG\search[2].htm moved successfully. C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\Content.IE5\T3T31PQG weet_button[1].html moved successfully. C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\Content.IE5\T3T31PQG\xd_arbiter[1].htm moved successfully. C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\Content.IE5\JTALTLX0\affich-27969401-systeme-care-antivirus-1-casse-tete-pour-l-enlever[1].txt moved successfully. C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\Content.IE5\JTALTLX0\likebox[1].htm moved successfully. C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\Content.IE5\JTALTLX0\likebox[2].htm moved successfully. C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\Content.IE5\JTALTLX0\xd_arbiter[1].htm moved successfully. C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\Content.IE5\7PZRFQ8V\follow_button[1].html moved successfully. C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully. C:\Documents and Settings\Pascal\Local Settings\Temporary Internet Files\SuggestedSites.dat moved successfully. PendingFileRenameOperations files... Registry entries deleted on Reboot...

juju666 · Answer

Bien refais OTL comme expliqué ici : https://forums.commentcamarche.net/forum/affich-27969401-systeme-care-antivirus-1-casse-tete-pour-l-enlever#1
On contrôle puis on clôture :)

juju666 · Answer

Vu :)

T'as toujours pas désinstallé Adobe Reader
Désactive le plugin MetaStream 3 Plugin dans google chrome 

Refais une correction OTL avec ça :

:OTL
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr  
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = http://www.viewpoint.com/landing/v38a.html 
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr   
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = http://www.viewpoint.com/landing/v38a.html    
CHR - plugin: MetaStream 3 Plugin (Enabled) = C:\Program Files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll

:Files
C:\Documents and Settings\All Users\Application Data\1831941BEEAD68C3000018317BEF6DBE    
C:\Program Files\Softonic-Eng7    

:Reg
[-HKEY_CURRENT_USER\Software\MyWaySA]

 
 Poste le rapport (pas de redémarrage cette fois ^^)

Ninepass · Answer

J'ai trouvé sur le forum comment désactiver les plugins sur chrome ... 
Mais je n'ai pas trouvé MetaStream 3 Plugin 

Voici ceux que j'ai trouvé : Adobe Flash Player; Microsoft DRM (Plugin); Windows Media Player; Chrome Remote Desktop Viewer; Microsoft DRM (Object); Native Client; Chrome PDF Viewer; JAVA(TM); Google Update; Windows Presentation Foundation

Ninepass · Answer

========== OTL ==========
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL| /E : value set successfully!
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main\First Home Page| /E : value set successfully!
HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL| /E : value set successfully!
HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main\First Home Page| /E : value set successfully!
File C:\Program Files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll not found.
========== FILES ==========
C:\Documents and Settings\All Users\Application Data\1831941BEEAD68C3000018317BEF6DBE folder moved successfully.
C:\Program Files\Softonic-Eng7 folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\MyWaySA\ deleted successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 06072013_195736

juju666 · Answer

Parfait je t'envoie le final : 

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

Ninepass · Answer

Merci encore !!! On va suivre tes conseils !

juju666 · Answer

Ah oui et pour adobe reader : https://get2.adobe.com/fr/reader/otherversions/
Décocher le scan mac à fric avant installation ;)

Systeme care antivirus ... 1 casse tete pour l'enlever

11 réponses

Discussions similaires

Newsletters