MPC Cleaner s'est installé sur le PC (Windows 10 à jour) d'un membre de ma famille assez impudent. Impossible de le désinstaller. MPC Cleaner résiste à ADWCleaner, ZHPCleaner et Revo Uninstaller. Les concepteurs de MPC Cleaner semblent être parvenus à protéger leur logiciel d'une façon absolue contre toute désinstallation.  

Existe-t'il une solution efficace autre que la réinstallation de Windows ?

Re: Désinstallation de MPC Cleaner

Avant le dernier nettoyage, utilises-tu :

  • Les jeux Wild Tangent :Bejeweled 2 Deluxe, Polar Bowler, Plants vs Zombies...
  • Big Fish Games

Sinon supprime les manuellement et on finira avec un script ZHPFix.

Bonne soirée

Re: Désinstallation de MPC Cleaner

Bonjour Chapi,

Tous les jeux inutilisés ont été désinstallés. FireFox a été installé pour remplacer IE.

Voici le rapport ZHPDiag : https://up2sha.re/file?f=G3y1BWsnW5hH

Bien à toi,

Jo.

Re: Désinstallation de MPC Cleaner

Bonsoir,

Donc un dernier script ZHPFix avec le final :

On va utiliser ZHPFix, un logiciel de Nicolas Coolman, afin de supprimer quelques éléments :

  • Rends toi sur la page de téléchargement de ZHPFix, puis clique sur le bouton bleu "Nicolas Coolman - Télécharger".
  • Enregistre le fichier où tu veux et lance le (fais le par un clic-droit -> Exécuter en temps qu'administrateur).
  • Laisse toi guider pendant l'installation, à la fin, un raccourci se crée sur ton bureau, lance le (fais le par un clic-droit -> Exécuter en temps qu'administrateur).
  • Clique sur l'icône "Importer".
  • Copie colle le script suivant, en partant de Script ZHPFix :
Script ZHPFix

O61 - LFC: 2016/01/12 20:02:00 A . (..) -- C:\Users\Joseph\AppData\Local\Microsoft\Windows\INetCache\Low\IE\XEIETRDT\Setup[1].exe   [689616] {60057CA76179C7AC193544DEC11C5090}
O61 - LFC: 2016/01/12 20:00:31 A . (..) -- C:\Users\Joseph\AppData\Local\Microsoft\Windows\INetCache\Low\IE\Q3Q1QUVP\Setup[1].exe   [689616] {60057CA76179C7AC193544DEC11C5090}
O43 - CFD: 02/04/2015 - [] D -- C:\Program Files (x86)\iolo {6C21770045938D8E872B30E91043E82B}
O23 - Service: MPC Core Protect Service (MPCProtectService) . (...) - C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe (.not file.)  =>.Superfluous.MPCCleaner
HKLM\SOFTWARE\Wow6432Node\MPC    => Superfluous.MPCCleaner
O43 - CFD: 15/01/2016 - [] D -- C:\Program Files (x86)\MPC Cleaner    => Superfluous.MPCCleaner
O43 - CFD: 15/01/2016 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC  =>.Superfluous.MPCCleaner
O43 - CFD: 15/01/2016 - [0] D -- C:\Users\Joseph\AppData\Local\ActiveSync    => Empty Folder not necessary
O58 - SDL:2016/01/12 19:58:51 N . (.DotC United Inc - MPC Driver.) -- C:\WINDOWS\System32\drivers\MPCKpt.sys   [60136]  =>.Superfluous.MPCCleaner
HKLM\SYSTEM\CurrentControlSet\Services\MPCProtectService  =>.Superfluous.MPCCleaner
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC  =>.Superfluous.MPCCleaner

FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash
  • Clique sur le bouton "GO" pour lancer le nettoyage, confirme et patiente pendant le traitement.
  • A la fin, un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau.
  • Copie/colle la totalité du rapport dans ta prochaine réponse.

Très bon choix Firefox :) Tu peux directement installer Wot et Adblock, deux extensions bien pratiques !

Aller et demain on termine :)

Re: Désinstallation de MPC Cleaner

Bonjour Chapi,

Voici le rapport FHPFix : https://up2sha.re/file?f=hRV3MQ3qpyQ7

Petit souci : le dossier vide MPCCleaner existe toujours dans le répertoire des programmes.

J'ai essayé de supprimer un sous-dossier manuellement, voici la capture d'écran des messages de refus: https://up2sha.re/file?f=AVGUvW9mx0xt .

Je suis pourtant dans une session avec privilèges d'Administrateur. Dans les Paramètres de sécurité avancés pour MPCCleaner, le propriétaire est bien Administrateurs (JENNY-TOSHIBA\Administrateurs).

C'est à croire que MPCCleaner a des privilèges encore plus élevés qu'un Administrateur !

Les dossiers sont vides, ce n'est donc pas grave, mais j'aimerais comprendre. Aurais-tu une dernière idée avant de conclure ?

Un grand merci en tout cas pour ton aide apportée jusqau'ici.

--

Jo.

P. S. Le document contenant les captures d'écran est un document Open Office. J'aurais du créer un PDF, le voici : https://up2sha.re/file?f=xpZClpCssGia

Re: Désinstallation de MPC Cleaner

Rebonjour,

C'est bien après redémarrage que j'ai tenté la suppression manuelle.

Je vais faire ce que tu proposes dès que j'aurai terminé ce que je fais en ce moment.

A un peu plus tard donc,

Jo.

Re: Désinstallation de MPC Cleaner

Bonsoir Chapi,

Résultat de FileAssassin : échec. Il ne trouve pas c:\windows\system32\drivers\mpckpt.sys, pourtant celui-ci est bien visible dans l'Explorateur.

J'avais bien vérifié précédemment que MPC ne se trouvait plus dans les processus actifs ni dans les services. En revérifiant, à nouveau et à mon grand étonnement, je retrouve MPCProtectService dans les services, mais il est arrêté.

En ouvrant la fenêtre des services je remarque que le type de démarrage est Automatique (bizarre puisqu'il est arrêté). J'ai tenté de le désactiver, mais l'accès est refusé.

Dans les propriétés de MPCProtectService on voit qu'il ouvre une session en tant que Compte système local.

Je suis tenté d'essayer de changer de compte, mais je préfère avoir ton avis au préalable.

J'ai pris la peine de prendre une série de captures d'écran qui pourront mieux t'éclairer :  https://up2sha.re/file?f=bWczt7FkZw8v.

Il semble qu'on n'est pas encore sorti de l'auberge ;) .

A bientôt ...

Jo.

Re: Désinstallation de MPC Cleaner

Bonsoir,

Quelle cochonnerie... Je pensais qu'on l'avais désactivé avec notre passage en MSE, mais visiblement il est encore tenace.

Est-ce que tu peux tenter le fileAssassin sur c:\windows\system32\drivers\mpckpt.sys depuis le Mode Sans Echec ? Tu as la procédure pour t'y rendre ici :

Si ça suffit pas on le tuera avec un logiciel encore plus puissant mais qui ne s'utilise pas à la légère.

Bon courage.

Chapi

Re: Désinstallation de MPC Cleaner

Bonjour Chapi,

En MSE, FileAssassin ne voit toujours pas le fichier à supprimer.

J'ai remarqué que la recherche de ce fichier à l'aide du bouton "Browse" du logiciel n'affiche pas les fichiers *.sys du dossier c:\windows\system32\drivers. C'est bizarre, on croirait que les drivers ne sont pas compris  dans le contrat de l'assassin :)  C'est peut-être voulu par l'auteur du logiciel, à moins qu'il ait mal défini ses filtres?

Il va falloir engager un tueur sans états d'âme ...

A bientôt,

Jo.

 

Re: Désinstallation de MPC Cleaner

Bonjour,

Alors le service MPCProtectService fait référence à MPCProtectService.exe qui est visiblement supprimé.

Donc il doit y avoir un autre service qui fait référence à mpckpt.sys. Pour savoir lequels peux tu exporter cette partie de ton registre :

  • Fait Win + R pour avoir l'utilitaire d'exécution
  • Tape regedit puis valide
  • Rend toi ici : HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet
  • Dans l'arborescence tu dois voir un "dossier" Services
  • Fais un clique droit dessus, puis exporter
  • Choisit le nom et l'emplacement que tu veux, mais laisse le en "Fichier d'enregistrement (*.reg)"
  • Puis héberge le sur Up2share et fourni le liens.

A bientot,

Chapi

Re: Désinstallation de MPC Cleaner

Rebonjour Chapi,

Voici donc l'export du registre concernant les services MPC : https://up2sha.re/file?f=eAm1XmqjLZdG

Ci-dessous, un aperçu des clés relatives à MPC pour ta facilité (le fichier d'export fait 4.6 Mo !)

A bientôt donc,

Jo.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCKpt] "Type"=dword:00000002 "ErrorControl"=dword:00000001 "Tag"=dword:0000001a "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\   52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4d,00,50,00,43,00,4b,00,70,00,74,\   00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="MPCKpt" "Group"="Base" "DependOnService"=hex(7):46,00,6c,00,74,00,4d,00,67,00,72,00,00,00,00,00 "WOW64"=dword:00000001 "Description"="MPC Driver" "DebugFlags"=dword:00000000 "MPCDay"="011516" "Av_dir"="\\device\\harddiskvolume2\\program files (x86)\\mpc cleaner\\" "start"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCKpt\Instances] "DefaultInstance"="NPminifilter Instance"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCKpt\Instances\NPminifilter Instance] "Altitude"="370137" "Flags"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCKpt\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCProtectService] "Type"=dword:00000110 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,\   6d,00,20,00,46,00,69,00,6c,00,65,00,73,00,20,00,28,00,78,00,38,00,36,00,29,\   00,5c,00,4d,00,50,00,43,00,20,00,43,00,6c,00,65,00,61,00,6e,00,65,00,72,00,\   5c,00,4d,00,50,00,43,00,50,00,72,00,6f,00,74,00,65,00,63,00,74,00,53,00,65,\   00,72,00,76,00,69,00,63,00,65,00,2e,00,65,00,78,00,65,00,22,00,00,00 "DisplayName"="MPC Core Protect Service""WOW64"=dword:00000001 "ObjectName"="LocalSystem" "Description"="The Core Protect Service for MPC" "start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCProtectService\Security]

Re: Désinstallation de MPC Cleaner

Bonsoir !

Merci pour le tri, effectivement c'est costaud :)

Et bien le voilà ce service récalcitrant :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCKpt\Security

Je ne sais pas pourquoi ZHPDiag ne le liste pas... Et du coup c'est à cause de lui qu'on arrive pas à tout supprimer.

Alors c'est parti pour la chasse à la grosse bête :

  • Télécharge TheAvenger de Swandog46 sur ton bureau.
  • Extrait le et lance avec les droits administrateurs.
  • Copie colle le script suivant dans la zone "Input script here"
Drivers to disable:
MPCProtectService
MPCKpt

Drivers to delete:
MPCProtectService
MPCKpt

Files to delete:
c:\windows\system32\drivers\mpckpt.sys
C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe
  • Décoche "Scan for Rootkit" et "Automatically disable rootkit found".
  • Puis clique sur "Execute" et accepte ce qu'il te demande.
  • Ton ordinateur va redémarrer deux fois, laisse le faire.
  • Au redémarrage, tu verras peut-être rapidement un invité de commande, c'est normal.
  • A la fin, un rapport devrais s'ouvrir, donne moi son contenu.
  • Si il ne s'ouvre pas il se trouve ici : c:\avenger.txt

Bon courage :)

Chapi

Re: Désinstallation de MPC Cleaner

Bonsoir,

Au lancement de TheAvenger, déception !  Il n'aime pas Windows 10 :(

Que faire ?

Jo.

 

Re: Désinstallation de MPC Cleaner

...

J'avais collé une capture d'écran dans mon message précédent, elle n'est pas passée.

La voici en PDF : https://up2sha.re/file?f=BbZiurErClxz

--

Jo.

Re: Désinstallation de MPC Cleaner

Bonsoir,

Et excuse moi, j'ignorais qu'il était pas compatible Win 7, 8, 8.1 et 10 :/

Je suis désolé de te faire tourner en rond comme ça...

 

J'ai un peu trainé parce que j'ai demandé conseil pour enfin trouver l'outils assez puissant et compatible pour qu'on s'en sorte :

BlitzBlank (Emisoft)

  1. Crée un point de restauration : Win+R -> SystemPropertiesProtection -> Créer
  2. Désactive provisoirement ton antivirus (voir ici)
  3. Ferme tes travaux en cours, un redémarrage est prévu.
  • Télécharge sur le bureau Blitzblank.exe (Emsisoft)depuis cette page (BleepingComputer). Contrairement à ce qui est indiqué, il est compatible Win10 64bits.
  • Enregistre l'outil sur le bureau.
  • Lance son exécution par clic-droit -> "Exécuter en tant qu'administrateur",
  • Ouvre l'onglet "Script"
  • Surligne et copie l'ensemble du script suivant :
  • DisableDriver: MPCKpt
    DisableDriver: MPCProtectService
    DeleteRegKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCKpt
    DeleteRegKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCProtectService
    DeleteFile: c:\windows\system32\drivers\mpckpt.sys
    DeleteFolder: C:\Program Files (x86)\MPC Cleaner

     

  • Dans la fenêtre de l'outil fais clic-droit -> Coller (vérifie...)
  • Clique sur [Executer]
  • "... êtes-vous sûr..." : OK
  • "... redémarrer..." : OK
  • Le PC va redémarrer (la correction aura lieu pendant le redémarrage)
  • Un rapport sera généré : C:\blitzblank.log
  • Copie/Colle son contenu dans ta réponse

A bientôt,

Chapi

Re: Désinstallation de MPC Cleaner

Bonjour Chapi,

Pas de souci pour le délai, je suis retraitré ;)

J'ai lancé BlitzBlank avec le script, mais j'obtiens le message Erreur de syntaxe dans la ligne 5. Chemin du fichier invalide.

J'ai vérifié dans l'explorateur, le chemin indiqué est exact.  Voici la capture d'écran : https://up2sha.re/file?f=3xNrV1o1xWFQ

J'ai tenté à nouveau en mettant le chemin entre double apostrophes, cela ne change rien !

Pas besoin de te presser !

A bientôt,

Jo

Re: Désinstallation de MPC Cleaner

Rebonjour Chapi,

Petit complément à mon message précédent.

En consultant le site BleepinComputer à la page Blitzblank, je remarque ceci au bas des exemples :

Note 2: Every command requires the path to the object you wish to delete or backup to be listed on the next line after the command. For all "Move" commands, the source and target paths should be listed on the same line separated by a space. Paths with embedded spaces must be "surrounded" by double-quotation marks.

C'est bien là une finesse susceptible d'échapper à tout le monde !

Je retente le coup en corrigeant le script.

Cordialement,

Jo

Re: Désinstallation de MPC Cleaner

...

Me revoilà après la tentative avec le script corrigé : toujours la même erreur de syntaxe.

Je joins les captures d'écran de Blitzblank : https://up2sha.re/file?f=rWFIl7qxoLCB

A bientôt,

Jo

Re: Désinstallation de MPC Cleaner

Bonjour,

Effectivement, je viens de reproduire le problème que tu rencontre, et malgré l'existence d'un fichier dans les drivers, il insiste sur le fait que le chemin n'est pas le bon.

Mais peut importe, une fois qu'il sera déchargé, on pourra le supprimer comme on veut.

Utilise donc le script suivant :

DisableDriver: MPCKpt
DisableDriver: MPCProtectService
DeleteRegKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCKpt
DeleteRegKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MPCProtectService
DeleteFolder: "C:\Program Files (x86)\MPC Cleaner"

 

Re: Désinstallation de MPC Cleaner

Bonjour Chapi,

Voici le rapport attendu, croisons les doigts !


BlitzBlank 1.0.0.32

File/Registry Modification Engine native application DeleteDriverEntryOnReboot: driverName = "mpckpt", backupFile = "(null)", deactivateOnly = 1 DisableDriver: ZwSetValueKey failed: status = c0000022 DeleteDriverEntryOnReboot: driverName = "mpcprotectservice", backupFile = "(null)", deactivateOnly = 1 DisableDriver: ZwSetValueKey failed: status = c0000022 DeleteRegistryKeyOnReboot: keyName = "\Registry\Machine\hkey_local_machine\system\currentcontrolset\services\mpckpt", backupFile = "(null)", replaceWithDummy = 0 DeleteRegistryKeyByDriver: keyName = "\Registry\Machine\hkey_local_machine\system\currentcontrolset\services\mpckpt", backupFile = "(null)", replaceWithDummy = 0 OpenDriver: ZwLoadDriver(\Registry\Machine\System\CurrentControlSet\Services\blzblk) failed: status = c0000428 DeleteRegistryKeyByDriver: OpenDriver failed: status = c0000428 DeleteRegistryKeyOnReboot: DeleteRegistryKeyByDriver failed: status = c0000428 DeleteRegistryKeyOnReboot: keyName = "\Registry\Machine\hkey_local_machine\system\currentcontrolset\services\mpcprotectservice", backupFile = "(null)", replaceWithDummy = 0 DeleteRegistryKeyByDriver: keyName = "\Registry\Machine\hkey_local_machine\system\currentcontrolset\services\mpcprotectservice", backupFile = "(null)", replaceWithDummy = 0 OpenDriver: ZwLoadDriver(\Registry\Machine\System\CurrentControlSet\Services\blzblk) failed: status = c0000428 DeleteRegistryKeyByDriver: OpenDriver failed: status = c0000428 DeleteRegistryKeyOnReboot: DeleteRegistryKeyByDriver failed: status = c0000428 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Config", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Config\DB", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Drivers", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Exe", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Image", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Image\SearchIcon", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Image\SgIcon", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Image\SoIcon", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Microsoft.VC90.CRT", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\ntkrnlmp.pdb", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\ntkrnlmp.pdb\0292FE5A651143BFA48A2B8936D760B41", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Skin", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Skin\Cleaner", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Skin\CrashReport", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Skin\News", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Skin\Tray", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: sourceDirectory = "\??\c:\program files (x86)\mpc cleaner\Skin\Uninstall", destinationDirectory = "(null)", replaceWithDummy = 0 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000022 MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000101