QVO6Résolu/Fermé

Question

Bonsoir, 

Depuis 1h j'essayes de me débarrasser de la page d'accueil QV06.
J'ai donc lu votre forum et est téléchargée ADWcleaner.
Ensuite ayant internet explorer j'ai fait alt U pour aller dans options internet et virer l'adresse QVO6 et également en moteur de recherche mais ce serait trop facile et c'est là que ça coince.
Il refuse de se supprimer!!!! Pouvez vous me donner un coup de main svp. Merci sophie

Smart91 · Answer

Bonjour,

Si tu as passé AdwCleaner, peux-tu poster le rapport STP ? 
 
Smart

sophie27310 · Answer

# AdwCleaner v3.003 - Rapport créé le 12/09/2013 à 19:29:09
# Mis à jour le 07/09/2013 par Xplode
# Système d'exploitation : Windows 7 Professional  (32 bits)
# Nom d'utilisateur : Fabien - FABIEN-PC
# Exécuté depuis : C:\Users\Fabien\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RU0GNC6B\adwcleaner-3.003.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Raccourcis ] *****

Raccourci Désinfecté : C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
Raccourci Désinfecté : C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
Raccourci Désinfecté : C:\Users\Fabien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
Raccourci Désinfecté : C:\Users\Fabien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

***** [ Navigateurs ] *****

-\ Internet Explorer v9.0.8112.16506

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]

*************************

AdwCleaner[R0].txt - [11925 octets] - [12/09/2013 18:26:35]
AdwCleaner[R1].txt - [2842 octets] - [12/09/2013 18:55:25]
AdwCleaner[R2].txt - [2962 octets] - [12/09/2013 19:28:11]
AdwCleaner[S0].txt - [10671 octets] - [12/09/2013 18:28:14]
AdwCleaner[S1].txt - [1850 octets] - [12/09/2013 18:56:04]
AdwCleaner[S2].txt - [1830 octets] - [12/09/2013 19:29:09]

########## EOF - C:\AdwCleaner\AdwCleaner[S2].txt - [1890 octets] ##########

Smart91 · Answer

Comme tu viens de repasser AdwCleaner, as-tu toujours QVO6 ?

On va quand m^me faire un diagnostic du PC afin de voir s'il y a encore des restes et/ou d'autres infections

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, 

- Double clique sur ZHPDiag2 et suis les instructions. 
/!\Utilisateurs de Vista, Windows 7 et Windows 8 : Clique droit sur le logo de ZHPDiag, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
(/!\L'outil a créé 3 icônes ZHPDiag et ZHPFix et MBRCheck) 
-  Double clique sur le raccourci ZHPDiag (Parchemin) sur ton Bureau pour le lancer.
- Si tu possèdes Avast comme antivirus, à l'alerte choisis "lancer normalement" 
- Dans la fenêtre ZHPDiag qui vient de s'ouvrir, clique sur "Configurer"
- Clique sur la loupe en bas à droite sans signe pour lancer l'analyse.
- Clique sur OUI à la question "Voulez-vous un rapport full options"
- Laisse l'outil travailler, il peut être assez long. 
- Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau 
- Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche sur ton bureau le fichier ZHPDiag.txt
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier". 
- Copie le lien obtenu  dans ta réponse.
 
Smart

sophie27310 · Answer

fait : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130912_f5s8v8r7g5

Smart91 · Answer

On va supprimer tous les restes par un script:

Ouvre ce fichier Sophie.txt, sélectionne toutes les lignes et copie les.

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 ou Windows 8 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..."Tu réponds Oui"
- Clique sur le bouton "IMPORTER"
- Les lignes du fichier Sophie se collent automatiquement dans ZHPFix, sinon colle les lignes
NB:Dans certains cas, sous Windows 8, le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER"
- Clique sur le bouton « GO »  pour le lancer le nettoyage
- A la demande, confirme le nettoyage des données en cliquant sur [OK]
- Patiente le temps du traitement.
- ZHPFix va te demander si tu souhaites vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)
- Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau 
- Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt
- Copie/colle la totalité du rapport dans ta prochaine réponse

Et redémarre le PC

Et dis moi si tu as toujours QVO6

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

sophie27310 · Answer

Merci beaucoup de m'aider......
Rapport de ZHPFix 2013.9.11.6 par Nicolas Coolman, Update du 11/09/2013
Fichier d'export Registre : 
Run by Fabien at 13/09/2013 18:44:01
High Elevated Privileges : OK
Windows 7 Business Edition, 32-bit  (Build 7600)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Users\Fabien\AppData\Local\Temp\BoxoreInstaller.exe
SUPPRIMÉ: Memory Process: C:\Users\Fabien\AppData\Local\Temp\uninst1.exe
SUPPRIMÉ: Memory Process: C:\Users\Fabien\AppData\Local\Temp\wajam_download.exe

========== Clés du Registre ==========
SUPPRIMÉ: CLSID BHO: {9050df6b-a925-44af-8693-bf145bcdee8d}
SUPPRIMÉ: [HKLM\SOFTWARE\Classes\CLSID\{9050df6b-a925-44af-8693-bf145bcdee8d}]
SUPPRIMÉ: Service: Update WebConnect
SUPPRIMÉ: HKCU\Software\WebConnect
SUPPRIMÉ: SearchScopes :{33BB0A4E-99AF-4226-BDF6-49120163DE86}
SUPPRIMÉ: HKLM\Software\Classes\Interface\{7C28CEF1-A4A6-4B6A-8B97-C44F1267753C}
SUPPRIMÉ: HKLM\Software\Classes\TypeLib\{D8CAF2DF-52D3-42CF-9DDB-F4FF828DB4F8}
SUPPRIMÉ: HKLM\Software\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
SUPPRIMÉ: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC

========== Valeurs du Registre ==========
SUPPRIMÉ: {8D6E543C-2628-4F81-8CFF-C755E52293DD}
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 

========== Eléments de donnée du Registre ==========
SUPPRIMÉ: R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page
SUPPRIMÉ: R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL
SUPPRIMÉ AppInit: \Users\Fabien\AppData\Local\DProtect\eBP.dll
SUPPRIMÉ: StartMenuInternet:  C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com

========== Dossiers ==========
SUPPRIMÉ: C:\Program Files\Software
SUPPRIMÉ: C:\Users\Fabien\AppData\Roaming\FreeSoftwareUpdater
SUPPRIMÉ: C:\Users\Fabien\AppData\Local\DProtect
SUPPRIMÉ: C:\Users\Fabien\AppData\Local\Software
SUPPRIMÉ: C:\ProgramData\DSearchLink
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichiers ==========
REMPLACÉ: C:\Users\Fabien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iexplore.exe.lnk
REMPLACÉ: C:\Users\Fabien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\iexplore.exe.lnk
REMPLACÉ: C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iexplore.exe.lnk
REMPLACÉ: C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\iexplore.exe.lnk
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\install rocketpdf344019.exe 
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\qvo6.exe 
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\addlyrics3.exe 
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\lyricsmonkey_1060-1053_v122.exe 
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\obboxore.exe 
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\ibtmpc810632\config\speedanalysis.ico 
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\boxoreinstaller.exe
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\uninst1.exe
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\wajamim.exe 
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\e9626ae7-bab0-7891-8c62-6e7c6b60d841\latest\bab138.deltatb_dmn.zpb 
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\e9626ae7-bab0-7891-8c62-6e7c6b60d841\latest\dsearchlink_dt.zpb 
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\e9626ae7-bab0-7891-8c62-6e7c6b60d841\latest\deltatb.zpb 
SUPPRIMÉ: c:\users\fabien\appdata\local	emp\wajam_download.exe
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Tache planifiée ==========
SUPPRIMÉ Task: Advanced System Protector
SUPPRIMÉ Task: Advanced System Protector_startup
SUPPRIMÉ Task: RegClean Pro


========== Récapitulatif ==========
3 : Processus mémoire
9 : Clés du Registre
3 : Valeurs du Registre
4 : Eléments de donnée du Registre
7 : Dossiers
19 : Fichiers
3 : Tache planifiée


End of clean in 00mn 35s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 13/09/2013 18:44:04 [4050]

Maintenant je rédémarre......

Smart91 · Answer

OH il est plus coriace que je pensais. Un nouvelle variante surement.
Tu es sure d'avoir copié toutes les lignes du fichier Sophie car le rapport ZHPFix me semble bien court.

Re-paramètre tes navigateurs Internet (page de démarrage, moteur de recherche etc) mais aussi supprime/désactive les extensions inutiles/parasites: 

* Pour Internet Explorer et modules complémentaires / moteurs de recherche: https://forum.malekal.com/viewtopic.php?t=41399&start=

Refais un scan ZHPDiag en suivant la procédure que j'avais dpnnée et poste le rapport via pjjoint

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

sophie27310 · Answer

Bonjour Smart91 je veux bien recommencer avec le texte Sophie si besoin, le problème c'est que mon pc met énormément de temps à s'ouvrir maintenant avec en item "préparation de configuration windows, ne pas arrêter"...........
Ensuite j'essaye de le supprimer dans moteur de recherche mais je ne peux pas car il n'y a que la case fermer active.

Petite question: c'est un pc qui revient de réparation, il n' y a donc plus rien dessus. Si je le restaure à la date d'achat le virus QVO6 sera toujours d'actualité.
merci de votre réponse.

sophie27310 · Answer

[https://pjjoint.malekal.com/files.php?id=20130914_x7p11p11u14g14
.....manip faite, je croises les doigts merci

Smart91 · Answer

Pour un pC qui revient de réparation il y avait beaucoup de programmes indésirables et adwares

Le message ""préparation de configuration windows, ne pas arrêter". C'est qu'il y a une mise à de Windows qui s'installe et si tu as ce message au prochain démarrage cela veut veut dire qu'une mise à jour bloque
Ta version de ton Windows 7 ne semble pas officielle, c'est surement pour cela.

Refais un scan ZHPDiag (pas ZHPFix) comme je l'avais indiqué et poste le rapport via pjjoint

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

sophie27310 · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130914_w5m10h11b10t11

sophie27310 · Answer

Facile de faire croire à une personne que le pc est réparé surtout quand on y connait rien!!!!j'avais vista sur celui ci et je me suis retrouvée avec windows 7 en le récupérant.
Merci en tt cas...

Smart91 · Answer

"'J'avais vista sur celui ci et je me suis retrouvée avec windows 7 en le récupérant. " 
Ce n'est pas normal, il t'a installé une version non officielle de Windows. Tu risques souvent d'être infecté et de ne pas pou voir faire les mises à jour.

On va encore supprimé quelques infections:

- Ferme toutes tes applications en cours
- Sélectionne et copie toutes les lignes en gras suivantes : 

----------------------------------------------------------------------------------
Script ZHPFix
OPT:O4 - GS\QuickLaunch [Fabien]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com
OPT:O4 - GS\TaskBar [Fabien]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com
OPT:O4 - GS\Program [Fabien]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com
OPT:O4 - GS\SystemTools [Fabien]: Internet Explorer (No Add-ons).lnk . (.Microsoft Corporation - Internet Explorer.)  -- C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com
O23 - Service: Wsys Service (WsysSvc) . (.Wsys Co., Ltd. - Wsys Control 10.2.1.2634.) - C:\ProgramData\eSafe\eGdpSvc.exe
O42 - Logiciel: Wsys Control 10.2.1.2634 - (.Wsys Co., Ltd..) [HKLM] -- WsysControl
[HKLM\Software\eSafeSecControl]
O45 - LFCP:[MD5.C82D84F4B1DB5B96BAF0E3D9AACA8275] - 14/09/2013 - 09:23:42 ---A- - C:\Windows\Prefetch\EGDPSVC.EXE-93F5DEC9.pf
O64 - Services: CurCS - 02/01/1601 - Pas de propriétaire (esgiguard)  .(...) - LEGACY_ESGIGUARD
O87 - FAEL: "{57236DBB-766E-4615-B427-453C6D9BDACD}" | In - Public - P6 - TRUE | .(.Wsys Co., Ltd. - Wsys Control 10.2.1.2634.) -- C:\ProgramData\eSafe\eGdpSvc.exe
SS - | Auto 13/09/2013 825920 |  (WsysSvc) . (.Wsys Co., Ltd..) - C:\ProgramData\eSafe\eGdpSvc.exe
[HKLM\SYSTEM\CurrentControlSet\Services\WsysSvc]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WsysControl]
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc]
C:\ProgramData\eSafe\eGdpSvc.exe
EmptyTemp
EmptyFlash
-------------------------------------------------------------------------------

- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 ou Windows 8 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..."Tu réponds Oui"
- Clique sur le bouton "IMPORTER"
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
NB:Dans certains cas, sous Windows 8, le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER"
- Clique sur le bouton « GO »  pour le lancer le nettoyage
- A la demande, confirme le nettoyage des données en cliquant sur [OK]
- Patiente le temps du traitement.
- ZHPFix va te demander si tu souhaites vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)
- Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau 
- Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt
- Copie/colle la totalité du rapport dans ta prochaine réponse

Et redémarre le PC

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

sophie27310 · Answer

Rapport de ZHPFix 2013.9.13.600 par Nicolas Coolman, Update du 13/09/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-14-09-2013-18-26-17.txt
Run by Fabien at 14/09/2013 18:25:57
High Elevated Privileges : OK
Windows 7 Business Edition, 32-bit  (Build 7600)

Corbeille vidée

========== Logiciels ==========
SUPPRIMÉ: Wsys Control 10.2.1.2634

========== Clés du Registre ==========
ERREUR: Service Legacy: LEGACY_ESGIGUARD
SUPPRIMÉ: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc

========== Valeurs du Registre ==========
SUPPRIMÉ: {57236DBB-766E-4615-B427-453C6D9BDACD}

========== Dossiers ==========
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichiers ==========
REMPLACÉ: C:\Users\Fabien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iexplore.exe.lnk
REMPLACÉ: C:\Users\Fabien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\iexplore.exe.lnk
REMPLACÉ: C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iexplore.exe.lnk
REMPLACÉ: C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\iexplore.exe.lnk
SUPPRIMÉ: c:\windows\prefetch\egdpsvc.exe-93f5dec9.pf 
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies


========== Récapitulatif ==========
2 : Clés du Registre
1 : Valeurs du Registre
2 : Dossiers
7 : Fichiers
1 : Logiciels


End of clean in 00mn 35s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 13/09/2013 17:44:04 [4102]
C:\ZHP\ZHPFix[R2].txt - 14/09/2013 09:02:18 [1674]
C:\ZHP\ZHPFix[R3].txt - 14/09/2013 18:26:16 [1550]

sophie27310 · Answer

Rapport de ZHPFix 2013.9.13.600 par Nicolas Coolman, Update du 13/09/2013
Fichier d'export Registre : 
Run by Fabien at 14/09/2013 18:25:57
High Elevated Privileges : OK
Windows 7 Business Edition, 32-bit  (Build 7600)

Corbeille vidée

========== Logiciels ==========
SUPPRIMÉ: Wsys Control 10.2.1.2634

========== Clés du Registre ==========
ERREUR: Service Legacy: LEGACY_ESGIGUARD
SUPPRIMÉ: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc

========== Valeurs du Registre ==========
SUPPRIMÉ: {57236DBB-766E-4615-B427-453C6D9BDACD}

========== Dossiers ==========
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichiers ==========
REMPLACÉ: C:\Users\Fabien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iexplore.exe.lnk
REMPLACÉ: C:\Users\Fabien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\iexplore.exe.lnk
REMPLACÉ: C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iexplore.exe.lnk
REMPLACÉ: C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\iexplore.exe.lnk
SUPPRIMÉ: c:\windows\prefetch\egdpsvc.exe-93f5dec9.pf 
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies


========== Récapitulatif ==========
2 : Clés du Registre
1 : Valeurs du Registre
2 : Dossiers
7 : Fichiers
1 : Logiciels


End of clean in 00mn 35s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 13/09/2013 17:44:04 [4102]
C:\ZHP\ZHPFix[R2].txt - 14/09/2013 09:02:18 [1674]
C:\ZHP\ZHPFix[R3].txt - 14/09/2013 18:26:16 [1550]

sophie27310 · Answer

Bonsoir,

Qvo6 est toujours là, je commences à désespérer!!!!

Smart91 · Answer

Il ne faut pas désespérée, une désinfection cela peut prendre du temps surtout que nous avons affaire une nouvelle variante et de plus ton Windows n'est pas officiel, cela n'arrange pas les choses.

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.


Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

sophie27310 · Answer

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.09.14.08

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Fabien :: FABIEN-PC [administrateur]

Protection: Activé

14/09/2013 21:07:18
mbam-log-2013-09-14 (21-07-18).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 325510
Temps écoulé: 1 heure(s), 22 minute(s), 33 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKCR\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23} (PUP.Optional.BrowseFox.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Google\Chrome\Extensions\ifohbjbgfchkkfhphahclmkpgejiplfo (PUP.Optional.Elex.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 40
C:\Users\Fabien\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JWXX6BOZ\RocketPDFSetup.exe (Adware.InstallBrain) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LA1AT3TJ\Setup[1].exe (PUP.Optional.SaltarSmart.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\P6O8U1QC\pack[1].7z (PUP.Optional.BrowserProtect.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TQPVL2FU\component_libcef_1.1364.1123[1].exe (PUP.Optional.Desk365.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZI8EWWQJ\wajam_install[1].exe (PUP.Optional.Wajam.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZI8EWWQJ\Wallpaper[1].exe (PUP.Optional.Desk365.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\QVO6.EXE (PUP.Optional.Elex) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\setup__1492.exe (PUP.Optional.Amonetize) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\uKSeuJy_.exe.part (PUP.Optional.DomaIQ) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\Optimizer_Pro.exe (PUP.Optional.1ClickDownload.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\UpdUninstall.exe (PUP.Optional.Amonetize.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\WajamIM.EXE (PUP.Optional.Wajam) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\wajam_download.exe (PUP.Optional.Wajam) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\42103F26-BAB0-7891-B1ED-F1DD39A2F9FA\Latest\BabMaint.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\42103F26-BAB0-7891-B1ED-F1DD39A2F9FA\Latest\enhancedNT.dll (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\42103F26-BAB0-7891-B1ED-F1DD39A2F9FA\Latest\MyDeltaTB.exe (PUP.Optional.Delta) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\42103F26-BAB0-7891-B1ED-F1DD39A2F9FA\Latest\Setup.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\is552972367\DeltaTB.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\is552972367\wajam_download.exe (PUP.Optional.Wajam) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\B096F45D-BAB0-7891-B290-9C4B3DFE7595\Latest\BabMaint.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\B096F45D-BAB0-7891-B290-9C4B3DFE7595\Latest\enhancedNT.dll (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\B096F45D-BAB0-7891-B290-9C4B3DFE7595\Latest\MyDeltaTB.exe (PUP.Optional.Delta) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\B096F45D-BAB0-7891-B290-9C4B3DFE7595\Latest\Setup.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\Setup.exe\1875dee3620b49cb8b673a323b62f9ea\eSetup.exe (PUP.Optional.DomaIQ) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\Setup.exe\1875dee3620b49cb8b673a323b62f9ea\installer.exe (PUP.Optional.DomaIQ) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\Setup.exe\1875dee3620b49cb8b673a323b62f9ea\software\Delta Babylon.exe (PUP.Optional.DeltaTB) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\Setup.exe\1875dee3620b49cb8b673a323b62f9ea\software\OptimizerPro.exe (PUP.Optional.OptimizePro.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\Setup.exe\1875dee3620b49cb8b673a323b62f9ea\software\SaltarSmart.exe (PUP.Optional.SaltarSmart.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\Setup.exe\1875dee3620b49cb8b673a323b62f9ea\software\Setup.exe (PUP.Optional.Tugluu.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\eIntaller\19222ED9EDBA4e719374DBD85C50CFB7\Desk365.exe (PUP.Optional.Desk365.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Local\Temp\eIntaller\19222ED9EDBA4e719374DBD85C50CFB7\eXQ.exe (PUP.Optional.Elex.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Roaming\BabSolution\Shared\BabMaint.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Roaming\BabSolution\Shared\enhancedNT.dll (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Roaming\Desk 365\components\component_libcef_1.1364.1123.exe (PUP.Optional.Desk365.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\AppData\Roaming\Omiga Plus\wallpaper_components.exe (PUP.Optional.Desk365.A) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3385954516-4170446199-2400764904-1000\$RXPSQZ8\fabso27\Downloads\Setup.exe (PUP.Optional.DomaIQ) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\92XW9TMA\wajam_update[1].004 (PUP.Optional.Wajam.A) -> Mis en quarantaine et supprimé avec succès.
C:\ZHP\Quarantine\wajam_download.exe.VIR (PUP.Optional.Wajam) -> Mis en quarantaine et supprimé avec succès.
C:\ZHP\Quarantine\DSearchLink.DIR\DSearchLink.exe (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
C:\User Data\Default\Extensions
ewtab.crx (PUP.Optional.Elex.A) -> Mis en quarantaine et supprimé avec succès.

(fin)

Smart91 · Answer

Relance MalwareBytes et vide la quarantaine.

Refais un scan ZHPDiag (pas ZHPFix) comme je l'avais indiqué et poste le rapport via pjjoint

Smart

sophie27310 · Answer

Bonjour,
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130915_g5e6p6i11s10

sophie27310 · Answer

J'ai enfin réussi à retirer QVO6 des modules complémentaires internet.....merci et bon dimanche

Smart91 · Answer

Super
Dans le cas de find22 / Portaldosites / QVO6.com : il faut nettoyer les raccourcis (icônes) de lancement des navigateurs Internet.
Fais un clic droit sur les icônes de raccourcis de lancement des navigateurs puis propriétés.
Dans cible, à la fin, une adresse http a été ajoutée  pour que le site s'ouvre au démarrage du navigateur, supprime cette adresse http ET SEULEMENT cette adresse http
Comme le montre l'image ci-dessous:

 
Smart

Smart91 · Answer

Super.
On va passer à la phase finale:

Il faut faire la mise à jour de Windows 7 et installer SP1. Je ne suis pas sûr qu'avec ta version non officielle de Windows cela va marcher ==>
Mise à jour SP1 Windows 7:
http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=c3202ce6-4056-4059-8a1b-3a9b77cdfdda
Ou alors par Windows update

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises à jour disponibles à l'aide de ce petit programme Check&Update de igor 51
Et lis ceci: Pourquoi tenir ses programmes a jour
Je me permets de te signaler l'existence d'une lettre d'information proposée en bas à gauche de ce site. En t'inscrivant, tu recevras un e-mail dès que des mises à jour importantes pour la sécurité de ton ordinateur sont disponibles. Ces messages contiendront des explications pour savoir comment procéder, ça peut t'aider si tu ne te sens pas à l'aise pour le faire seul.

Optimisation:

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 

Désinstallation des outils - Réactivation de l'UAC - Purge Restauration et Création d'un point de restauration

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Coche toutes les cases sauf "Faire une sauvegarde du registre"
- Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
- Le rapport sera enregistré dans le presse-papier. Copie/Colle le dans ta prochaine réponse.

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 
Pour Chrome: https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up publicitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

sophie27310 · Answer

# DelFix v10.4 - Rapport créé le 15/09/2013 à 21:15:02
# Mis à jour le 19/07/2013 par Xplode
# Nom d'utilisateur : Fabien - FABIEN-PC
# Système d'exploitation : Windows 7 Professional Service Pack 1 (32 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Fabien\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Fabien\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #23 [Windows 7 Service Pack 1 | 09/15/2013 18:20:23]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

sophie27310 · Answer

un grand merci de ta patience et de ton aide......bonne continuation. sophie

Smart91 · Answer

Heureux de t'avoir aidée

Smart

QVO6

26 réponses

Discussions similaires

Newsletters