Problème de service "MPC Core Protect Service" persistant

[lb38]

Bonsoir,

Je suis "infecté" par MPC Cleaner (DotCash) que je ne parviens pas à supprimer complètement.

Voir : http://www.supprimer-trojan.com/mpc-cleaner/

ZhpCleaner, à jour, me détecte 16 éléments en "Scanner" mais ne m'en enlève que 4 en "Nettoyer".

De plus au redémarrage j'en ai toujours autant.

En parlant de démarrage j'ai plusieurs messages d'erreurs au lancement de Windows (DLLs ...) liés à MPC.

J'ai toujours le service "MPC Core Protect Service".

Je ne l'ai par contre plus dans les programmes installés ni dans les processus lancés au démarrage.

Comment finaliser la suppression ?

Merci par avance

lb38

PS : Je n'ai pas mis le rapport ZHPCleaner car si j'ai bien compris les règles il ne faut pas le mettre du départ, non ?

[angelique]

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
  Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
  (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

-----------------------------------

[lb38]

Bonsoir,

Déjà, et en premier lieu, merci de ta réponse.

J'ai suivis la procédure mais j'ai par contre 3 rapports et non pas 2 :

• FRST.txt : http://pjjoint.malekal.com/files.php?re ... 5c5p612l11
• Addition.txt : http://pjjoint.malekal.com/files.php?re ... w11e7s8n15
• Shortcut.txt : http://pjjoint.malekal.com/files.php?re ... 11o7f11k11

NB : J'ai exécuté FRST en tant qu'administrateur.

@+

[angelique]

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer [Touche Ѡindows+R du clavier]---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [267232 2016-02-15] (DotCash Limited)
  ProxyServer: [S-1-5-21-896014957-2149643360-2370021023-1001] => 127.0.0.1:8080
  2016-02-15 18:26 - 2016-02-15 20:02 - 00000000 ____D C:\Program Files (x86)\MPC Cleaner
  2016-02-15 18:26 - 2016-02-15 18:26 - 00055016 _____ (DotCash) C:\WINDOWS\system32\Drivers\MPCKpt.sys
  EmptyTemp:
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Fix/Correction et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse et dit si ç'est suffisant ?

-----------------------------

[lb38]

Voici le rapport demandé :
http://pjjoint.malekal.com/files.php?re ... u5t14b9c12

Malheureusement ce n'est pas suffisant : J'ai toujours le service et, sans doute lié, les erreurs au démarrage.

[Malekal_morte]

Utilise le uninstaller, voir : http://www.supprimer-trojan.com/mpc-cleaner/

[lb38]

Salut,

Parfois on ne penses pas au plus simple : J'ai utiliser le Uninstall.exe.

On progresse je n'ai plus le service ni les erreurs au démarrage.

Pour autant ce n'est pas terminé.

Zhpcleaner, dont voici le rapport :
http://pjjoint.malekal.com/files.php?re ... 15l5p6l8q8
m'indique toujours 10 pbs et en corrige que 2 mais j'en ai toujours 10 après redémarrage.

On avance.

Cordialement.

lb38

PS : Je ne pourrais sans doute plus te répondre ce soir.

[Malekal_morte]

ok, c'est déjà ça.
Il est casse bonbon à virer ce MPC Cleaner :/

C:\Windows\System32\drivers\MPCKpt.sys est encore là ou il a été supprimé ?

[lb38]

Bonjour,

Déjà mes remerciements pour le suivi.

Ensuite C:\Windows\System32\drivers\MPCKpt.sys est encore présent.

Il s'accroche l'animale. C'est d'ailleurs pour cela que je fais appel à vous

Le rapport ZHPCleaner t'aide ?

[Malekal_morte]

Essaye de le supprimer avec http://gmer.net
Tu télécharges et lances, onglet files
navigue dans tes dossiers pour sélectionner C:\Windows\System32\drivers\MPCKpt.sys
et tu fais kill dessus
puis redémarre l'ordinateur.

et tu vas le supprimer manuellement, s'il est encore là.

[lb38]

Non toujours pas car j'ai cette erreur avec GMER j'ai cette erreur :
http://pjjoint.malekal.com/files.php?re ... 8h9p13w512

Et Unlocker n'a pas marché non plus ...

[angelique]

Tu as aussi essayé PCHunter ?

Vu que c'est un équivalent de Gmer, ça marchera peut être pas ! donc faudra utiliser un LiveCD quelconque pour virer C:\Windows\System32\drivers\MPCKpt.sys

Tu as bien un liveCD quelconque dans ta "malette" ? de type GNU Linux ou PE Ѡindows ?

[lb38]

PC Hunter, bien que marchant lui, ne parvient pas à le supprimer.

J'essayerais demain soir, ou ce WE, avec un Live CD Linux qu'au pire je téléchargerais.

Je te tiens au courant.

[Malekal_morte]

Le CD Live est probablement la meilleure solution.

[lb38]

Bonjour,

Je ne m'en sors pas.

Que ce soit en Live USB ou CD j'ai un pb je n'ai pas accès au disque contenant Windows.

Je ne sais pas si c'est du au Bios UEFI ou au disque SSD, voir les 2, mais le disque n'est pas monté automatiquement et je ne parviens pas à le monter manuellement.

Donc impossible de supprimer le fichier en question.

Mais j'ai l'impression qu'il se remet en fait comme les clés de registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MPCKpt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCKpt

J'ai beau les supprimer, et cela semble marcher sur le coup, elles reviennent au redémarrage.

Le fichier est invisible en redémarrage avancé et ligne de commande.

Je penses que je vais essayé avec un autre live Linux, avec un autre noyau (Là c'était Ubuntu)

Je ne sais plus quoi faire..

Merci par avance si vous avez une idée.

Lb38