Pc infecte

jcld Messages postés 136 Statut Membre -  
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

je viens de tout réinstaller sur mon PC et je suis déjà infect
j'ai XP, microsoft security essentiel
j'ai entre autre QVO6
Jz n'arrive pas à désinfecté mon PC
MERCI pour votre aide

jcld

46 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection sur un PC sous Windows XP associée à QVO6 et à des redirections Web, avec ralentissements et difficultés de désinfection.
Plusieurs réponses recommandent des outils de nettoyage et la suppression d’extensions indésirables, notamment AdwCleaner et Delta Chrome Toolbar, puis le nettoyage des clés et fichiers malveillants.
Des conseils techniques évoquent aussi la gestion des partitions et l’espace disque, avec un avertissement sur les risques de suppression de C:, et la nécessité d’employer des méthodes sûres.
En cas de persistance, d’autres outils et des rapports de diagnostic peuvent être nécessaires pour affiner le désinfectage sans perte de données.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    jcld bonjour,

    Pas de panique !

    Utilise AdwCleaner (développé par Xplode) qui est un outil de désinfection spécifique aux logiciels publicitaires :

    *Rends toi sur ce site :
    http://general-changelog-team.fr/fr/accueil/66-multilangue/tutoriels/securite/311-utiliser-adwcleaner-version-3-x
    tu vas y trouver comment télécharger cet outil et ou, à quoi il sert ainsi que toutes ses fonctionnalités.

    * Une fois téléchargé et lancé clique sur [Scanner], laisse l'outil travailler.

    * Lorsque le scan est terminé, dans les différents onglets apparaissent les infections trouvées.

    * Clique sur l'onglet [Nettoyer], tous les éléments infectieux trouvés vont être supprimés.

    * Clique sur [Rapport], le rapport apparait, tu peux le copier/coller dans ta prochaine réponse.
    Sinon héberge le sur :
    cijoint ou pjoint ou Up2Share et transmet moi le lien obtenu.

    -----------------------------------------
    * Une fois AdwCleaner utilisé et posté son rapport :
    Utilise cet autre outil pour vérification :
    Junkware Removal Tool et poste le rapport : http://www.forum-entraide-informatique.com/support/junkware-removal-tool-tutoriel-t8260.html

    A+
    0
  2. jcld Messages postés 136 Statut Membre 2
     
    Bonjour,
    merci pour a réponse ultra rapide
    quelques points que je te précise:
    - j'ai en même temps un problème d'envoie de mail sur une de mes adresses @9online
    Une erreur est survenue lors de l'envoi du courrier : le serveur de courrier a envoyé un message d'accueil incorrect : 5.7.1 <l6.lns-se1200-ld-01-t2-31-35-174-127.dsl.dyn.abo.bbox.fr[31.35.174.127]>: Client host rejected: Abus_TG_spam14.
    je recoie bien mes messages par contre sur celle-ci
    j'ai une autre adresse en @gmail.com ou je recoie et j'envoie sans aucun problème
    - j'avais déjà passé Adware mais il ne m'a pas tout supprimé
    je viens de le refaire et je te mets le rapport:
    # AdwCleaner v3.003 - Rapport créé le 13/09/2013 à 09:17:11
    # Mis à jour le 07/09/2013 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : jcld - ACER-D2AA5A13AB
    # Exécuté depuis : C:\Documents and Settings\jcld\Mes documents\Downloads\adwcleaner-3.003.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Babylon
    Dossier Supprimé : C:\Program Files\mixidj
    Dossier Supprimé : C:\Documents and Settings\jcld\IECompatCache
    Dossier Supprimé : C:\Documents and Settings\jcld\Local Settings\Application Data\Babylon
    Dossier Supprimé : C:\Documents and Settings\jcld\Application Data\BabSolution
    Dossier Supprimé : C:\Documents and Settings\jcld\Application Data\Babylon
    Dossier Supprimé : C:\Documents and Settings\jcld\Application Data\mixidj
    [!] Dossier Supprimé : C:\Documents and Settings\jcld\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\kpepfkjapeclaafmhoelccknpfedainn
    Fichier Supprimé : C:\WINDOWS\Tasks\EPUpdater.job

    ***** [ Raccourcis ] *****

    Raccourci Désinfecté : C:\Documents and Settings\All Users\Bureau\Google Chrome.lnk
    Raccourci Désinfecté : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Google Chrome\Google Chrome.lnk
    Raccourci Désinfecté : C:\Documents and Settings\jcld\Menu Démarrer\Programmes\Internet Explorer.lnk
    Raccourci Désinfecté : C:\Documents and Settings\jcld\Menu Démarrer\Programmes\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    Raccourci Désinfecté : C:\Documents and Settings\jcld\Application Data\Microsoft\Internet Explorer\Quick Launch\Démarrer Internet Explorer.lnk
    Raccourci Désinfecté : C:\Documents and Settings\jcld\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    Raccourci Désinfecté : C:\Documents and Settings\jcld\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

    ***** [ Registre ] *****

    Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\kpepfkjapeclaafmhoelccknpfedainn
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
    Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane
    Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\mixidj.mixidjappCore
    Clé Supprimée : HKLM\SOFTWARE\Classes\mixidj.mixidjappCore.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\mixidj.mixidjdskBnd
    Clé Supprimée : HKLM\SOFTWARE\Classes\mixidj.mixidjdskBnd.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\mixidj.mixidjHlpr
    Clé Supprimée : HKLM\SOFTWARE\Classes\mixidj.mixidjHlpr.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{4D6A9BBF-402C-4301-B1EF-28D04F71D761}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CA9B9C89-4662-4ADC-9C23-A452BECD5D19}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D6A9BBF-402C-4301-B1EF-28D04F71D761}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{CA9B9C89-4662-4ADC-9C23-A452BECD5D19}]
    Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
    Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Google Chrome\shell\open\command
    Clé Supprimée : HKCU\Software\BabSolution
    Clé Supprimée : HKCU\Software\mixidj
    Clé Supprimée : HKLM\Software\mixidj
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mixidj

    ***** [ Navigateurs ] *****

    -\\ Internet Explorer v8.0.6001.18702

    Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [SearchAssistant]
    Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [CustomizeSearch]

    -\\ Google Chrome v29.0.1547.66

    [ Fichier : C:\Documents and Settings\jcld\Local Settings\Application Data\Google\Chrome\User Data\Default\preferences ]

    Supprimée : homepage
    Supprimée : search_url
    Supprimée : keyword
    Supprimée : urls_to_restore_on_startup

    *************************

    AdwCleaner[R0].txt - [27513 octets] - [12/09/2013 21:16:53]
    AdwCleaner[R1].txt - [27578 octets] - [12/09/2013 21:35:53]
    AdwCleaner[S0].txt - [6080 octets] - [12/09/2013 22:34:35]
    AdwCleaner[R2].txt - [22650 octets] - [12/09/2013 22:41:19]
    AdwCleaner[S1].txt - [20304 octets] - [12/09/2013 22:44:29]
    AdwCleaner[R3].txt - [5727 octets] - [12/09/2013 23:13:15]
    AdwCleaner[S2].txt - [3347 octets] - [12/09/2013 23:16:28]
    AdwCleaner[R4].txt - [3895 octets] - [12/09/2013 23:21:32]
    AdwCleaner[S3].txt - [2442 octets] - [12/09/2013 23:25:10]
    AdwCleaner[R5].txt - [2578 octets] - [12/09/2013 23:31:51]
    AdwCleaner[S4].txt - [1895 octets] - [12/09/2013 23:37:35]
    AdwCleaner[R6].txt - [4135 octets] - [12/09/2013 23:44:49]
    AdwCleaner[R7].txt - [4195 octets] - [13/09/2013 05:36:19]
    AdwCleaner[S5].txt - [2742 octets] - [13/09/2013 05:37:30]
    AdwCleaner[R8].txt - [4373 octets] - [13/09/2013 05:43:54]
    AdwCleaner[R9].txt - [8567 octets] - [13/09/2013 09:15:34]
    AdwCleaner[S6].txt - [6297 octets] - [13/09/2013 09:17:11]

    ########## EOF - C:\AdwCleaner\AdwCleaner[S6].txt - [6357 octets] ##########

    je vais faire la suite de ta demande
    0
  3. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Re,

    Ton logiciel de messagerie c'est quoi ?
    Parce que tu n'est pas le seul a avoir des problèmes avec @9online !

    A+
    0
  4. jcld Messages postés 136 Statut Membre 2
     
    mon logiciel est thunderbird

    ci-joint copie du rapport JRT
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Junkware Removal Tool (JRT) by Thisisu
    Version: 6.0.0 (09.12.2013:1)
    OS: Microsoft Windows XP x86
    Ran by jcld on 13/09/2013 at 9:50:53,70
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    ~~~ Services

    ~~~ Registry Values

    Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
    Successfully deleted [Registry Value] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\\bProtectTabs

    ~~~ Registry Keys

    Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
    Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}
    Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-2820608804-694203579-2743012246-1005\Software\SweetIM
    Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\installer\upgradecodes\1c875dde39636004ca8cdaec335b4160
    Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Paths\mypc backup
    Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\1c875dde39636004ca8cdaec335b4160
    Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\mypc backup
    Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{22222222-2222-2222-2222-220422152252}
    Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\Interface\{55555555-5555-5555-5555-550455155552}
    Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\Interface\{66666666-6666-6666-6666-660466156652}
    Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\TypeLib\{44444444-4444-4444-4444-440444154452}
    Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\Interface\{55555555-5555-5555-5555-550455155552}
    Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\Interface\{66666666-6666-6666-6666-660466156652}
    Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{44444444-4444-4444-4444-440444154452}

    ~~~ Files

    Successfully deleted: [File] C:\WINDOWS\Tasks\LyricsSay-1-chromeinstaller.job
    Successfully deleted: [File] C:\WINDOWS\Tasks\LyricsSay-1-codedownloader.job
    Successfully deleted: [File] C:\WINDOWS\Tasks\LyricsSay-1-enabler.job
    Successfully deleted: [File] C:\WINDOWS\Tasks\LyricsSay-1-updater.job
    Successfully disinfected: [Shortcut] C:\Documents and Settings\jcld\Application Data\Microsoft\Internet Explorer\Quick Launch\D'marrer Internet Explorer.lnk
    Successfully disinfected: [Shortcut] C:\Documents and Settings\jcld\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    Successfully disinfected: [Shortcut] C:\Documents and Settings\jcld\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

    ~~~ Folders

    Successfully deleted: [Folder] "C:\Documents and Settings\jcld\Local Settings\Application Data\software"
    Failed to delete: [Folder] "C:\Program Files\software"
    Successfully deleted: [Folder] "C:\WINDOWS\system32\ai_recyclebin"

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Scan was completed on 13/09/2013 at 10:04:29,07
    End of JRT log
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jcld Messages postés 136 Statut Membre 2
     
    Pour la messagerie:
    - j'utilise une adresse @9online.fr depuis plus de 15 ans
    je passe donc par SFR Puisque neuf a été repris par SFR
    Ma BBOX est de BOUYGUES
    j'avais pris une adresse @gmail.com parce que je me suis trouvé coincé avec SFR plusieurs fois avec le mot de passe et n'étant plus client de la box avec eux ils ne sont pas très coopérant quand on a des problèmes.
    Je conserve toujours cette adresse @9online.fr car j'ai donné cette adresse depuis des années à des clients faisant du commercial
    0
  7. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    jcld,

    Vois le forum de Bouygues et pose ta question, tu trouveras surement une réponse.

    https://forum.bouyguestelecom.fr/

    -----> pour qvo6 c'est bon ?

    A+
    0
  8. jcld Messages postés 136 Statut Membre 2
     
    bonsoir,
    qvo6 toujours présent
    adw ne le supprime pas malgré ce ui est indiué sur le rapport
    a chaque relance je retrouve:
    - 7 lignes infectées dans raccourci
    - 2 lignes infectées dans registre
    0
  9. jcld Messages postés 136 Statut Membre 2
     
    copie du rapport mais qvo6 toujours present
    # AdwCleaner v3.003 - Rapport créé le 13/09/2013 à 20:51:02
    # Mis à jour le 07/09/2013 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : jcld - ACER-D2AA5A13AB
    # Exécuté depuis : C:\Documents and Settings\jcld\Mes documents\Downloads\adwcleaner-3.003.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    ***** [ Raccourcis ] *****

    Raccourci Désinfecté : C:\Documents and Settings\All Users\Bureau\Google Chrome.lnk
    Raccourci Désinfecté : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Google Chrome\Google Chrome.lnk
    Raccourci Désinfecté : C:\Documents and Settings\jcld\Menu Démarrer\Programmes\Internet Explorer.lnk
    Raccourci Désinfecté : C:\Documents and Settings\jcld\Menu Démarrer\Programmes\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    Raccourci Désinfecté : C:\Documents and Settings\jcld\Application Data\Microsoft\Internet Explorer\Quick Launch\Démarrer Internet Explorer.lnk
    Raccourci Désinfecté : C:\Documents and Settings\jcld\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    Raccourci Désinfecté : C:\Documents and Settings\jcld\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

    ***** [ Registre ] *****

    Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
    Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Google Chrome\shell\open\command

    ***** [ Navigateurs ] *****

    -\\ Internet Explorer v8.0.6001.18702

    -\\ Google Chrome v29.0.1547.66

    [ Fichier : C:\Documents and Settings\jcld\Local Settings\Application Data\Google\Chrome\User Data\Default\preferences ]

    *************************

    AdwCleaner[R0].txt - [27513 octets] - [12/09/2013 21:16:53]
    AdwCleaner[R1].txt - [27578 octets] - [12/09/2013 21:35:53]
    AdwCleaner[S0].txt - [6080 octets] - [12/09/2013 22:34:35]
    AdwCleaner[R2].txt - [22650 octets] - [12/09/2013 22:41:19]
    AdwCleaner[S1].txt - [20304 octets] - [12/09/2013 22:44:29]
    AdwCleaner[R3].txt - [5727 octets] - [12/09/2013 23:13:15]
    AdwCleaner[S2].txt - [3347 octets] - [12/09/2013 23:16:28]
    AdwCleaner[R4].txt - [3895 octets] - [12/09/2013 23:21:32]
    AdwCleaner[S3].txt - [2442 octets] - [12/09/2013 23:25:10]
    AdwCleaner[R5].txt - [2578 octets] - [12/09/2013 23:31:51]
    AdwCleaner[S4].txt - [1895 octets] - [12/09/2013 23:37:35]
    AdwCleaner[R6].txt - [4135 octets] - [12/09/2013 23:44:49]
    AdwCleaner[R7].txt - [4195 octets] - [13/09/2013 05:36:19]
    AdwCleaner[S5].txt - [2742 octets] - [13/09/2013 05:37:30]
    AdwCleaner[R8].txt - [4373 octets] - [13/09/2013 05:43:54]
    AdwCleaner[R9].txt - [8567 octets] - [13/09/2013 09:15:34]
    AdwCleaner[S6].txt - [6437 octets] - [13/09/2013 09:17:11]
    AdwCleaner[R10].txt - [4555 octets] - [13/09/2013 20:05:44]
    AdwCleaner[S7].txt - [3105 octets] - [13/09/2013 20:39:33]
    AdwCleaner[R11].txt - [4618 octets] - [13/09/2013 20:46:04]
    AdwCleaner[S8].txt - [3024 octets] - [13/09/2013 20:51:02]

    ########## EOF - C:\AdwCleaner\AdwCleaner[S8].txt - [3084 octets] ##########
    0
  10. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    jcld,

    qvo6 toujours présent
    adw ne le supprime pas malgré ce ui est indiué sur le rapport


    Oui normal Qvo6 est réinstallé automatiquement !

    Mais on va s'en débarrasser.

    ¶ Télécharge OTL sur ton Bureau.
    ¶ Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
    ¶ Sous Personnalisation, copie-colle ce script :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %windir%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    ¶ Coche la case "tous les utilisateurs" puis clique sur le bouton "Analyse"
    ¶ Patiente pendant l'analyse jusqu'à l'apparition des deux rapports OTL.txt et Extras.txt
    ¶ Rends toi sur cijoint ou pjoint, clique sur "Parcourir", sélectionne le rapport de OTL et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    A+
    0
  11. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    jcld,

    [*] Lance OTL depuis le bureau. (si tu es sous Windows vista ou 7, fais un clic-droit dessus et choisis "exécuter en temps qu'administrateur")

    [*] Dans la fenêtre inférieure nommée "Personnalisation", colle le script ci-dessous. Uniquement ce qui est en gras et en italique ci-dessous.

    :OTL
    PRC - [2013/09/12 14:32:44 | 000,342,592 | ---- | M] (Woodtale Technology Inc) -- C:\Documents and Settings\jcld\Local Settings\Application Data\DProtect\DProtectSvc.exe
    MOD - [2013/09/12 14:32:48 | 000,062,016 | ---- | M] () -- C:\Documents and Settings\jcld\Local Settings\Application Data\DProtect\eBPSD.dll
    MOD - [2013/09/12 14:32:46 | 000,506,944 | ---- | M] () -- C:\Documents and Settings\jcld\Local Settings\Application Data\DProtect\eBP.dll
    SRV - [2013/09/12 14:32:44 | 000,342,592 | ---- | M] (Woodtale Technology Inc) [Auto | Running] -- C:\Documents and Settings\jcld\Local Settings\Application Data\DProtect\DProtectSvc.exe -- (DPService)
    SRV - [2013/09/12 13:59:52 | 000,119,408 | ---- | M] (The Software Group) [On_Demand | Stopped] -- C:\Program Files\Software\Update\SoftwareUpdate.exe -- (Software_update_m)
    SRV - [2013/09/12 13:59:52 | 000,119,408 | ---- | M] (The Software Group) [Auto | Stopped] -- C:\Program Files\Software\Update\SoftwareUpdate.exe -- (Software_update)
    IE - HKU\S-1-5-21-2820608804-694203579-2743012246-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>;*.offerbox.com
    CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}{google:omniboxStartMarginParameter}ie={inputEncoding}
    CHR - homepage: http://www.qvo6.com/?utm_source=b&utm_medium=slbnew&utm_campaign=eXQ&utm_content=hp&from=slbnew&uid=TOSHIBAXMK4025GAS_Y43N3642SXXY43N3642S&ts=1379098999
    CHR - Extension: LyricsSay-1 = C:\Documents and Settings\jcld\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pbjcbkbcncfkoljakenekllbfdonhjef\1.24.13_0\crossrider
    O20 - AppInit_DLLs: (C:\DOCUME~1\jcld\LOCALS~1\APPLIC~1\DProtect\eBP.dll) - C:\Documents and Settings\jcld\Local Settings\Application Data\DProtect\eBP.dll ()
    O20 - AppInit_DLLs: (C:\DOCUME~1\jcld\LOCALS~1\APPLIC~1\DProtect\eBPSD.dll) - C:\Documents and Settings\jcld\Local Settings\Application Data\DProtect\eBPSD.dll ()ser
    [2013/09/12 14:32:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\jcld\Local Settings\Application Data\DProtect
    [2013/09/12 14:00:05 | 000,000,000 | ---D | C] -- C:\Program Files\Software
    [2013/09/10 02:44:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\cache
    [2013/09/13 20:52:52 | 000,000,484 | ---- | M] () -- C:\WINDOWS\tasks\ParetoLogic Update Version3 Startup Task.job
    [2013/09/13 20:52:52 | 000,000,434 | ---- | M] () -- C:\WINDOWS\tasks\RegCure Pro Startup.job
    [2013/09/13 19:03:44 | 000,000,458 | ---- | M] () -- C:\WINDOWS\tasks\ParetoLogic Registration3.job
    [2013/09/13 04:46:02 | 000,000,384 | ---- | M] () -- C:\WINDOWS\tasks\RegCure Pro.job
    [2013/09/12 20:58:52 | 000,000,751 | ---- | M] () -- C:\Documents and Settings\jcld\Bureau\RegCure Pro.lnk
    [2013/09/12 20:58:50 | 000,000,432 | ---- | M] () -- C:\WINDOWS\tasks\ParetoLogic Update Version3.job
    [2013/09/12 21:01:06 | 000,000,458 | ---- | C] () -- C:\WINDOWS\tasks\ParetoLogic Registration3.job
    [2013/09/12 20:58:51 | 000,000,434 | ---- | C] () -- C:\WINDOWS\tasks\RegCure Pro Startup.job
    [2013/09/12 20:58:50 | 000,000,751 | ---- | C] () -- C:\Documents and Settings\jcld\Bureau\RegCure Pro.lnk
    [2013/09/12 20:58:48 | 000,000,484 | ---- | C] () -- C:\WINDOWS\tasks\ParetoLogic Update Version3 Startup Task.job
    [2013/09/12 20:58:47 | 000,000,432 | ---- | C] () -- C:\WINDOWS\tasks\ParetoLogic Update Version3.job
    [2013/09/12 20:58:42 | 000,000,384 | ---- | C] () -- C:\WINDOWS\tasks\RegCure Pro.job
    [2013/04/22 18:36:46 | 000,620,656 | ---- | M] (The Software Group) -- C:\DOCUME~1\jcld\LOCALS~1\Temp\BoxoreInstaller.exe
    [2013/08/04 16:00:52 | 000,010,320 | ---- | M] () -- C:\DOCUME~1\jcld\LOCALS~1\Temp\25E96ED4-BAB0-7891-8557-C65C54D6CEB8\Latest\BabMaint.exe
    [2013/08/04 16:00:52 | 000,010,320 | ---- | M] () -- C:\DOCUME~1\jcld\LOCALS~1\Temp\36212622-BAB0-7891-BDC1-6E963FC6133A\Latest\BabMaint.exe
    [2013/08/04 16:00:52 | 000,010,320 | ---- | M] () -- C:\DOCUME~1\jcld\LOCALS~1\Temp\5041D5F3-BAB0-7891-8775-D7BA7FECF6C2\Latest\BabMaint.exeon)
    [2013/08/04 16:00:52 | 000,010,320 | ---- | M] () -- C:\DOCUME~1\jcld\LOCALS~1\Temp\60CB8881-BAB0-7891-B5C1-BF806B70BB9A\Latest\BabMaint.exe
    [2013/08/04 16:00:52 | 000,010,320 | ---- | M] () -- C:\DOCUME~1\jcld\LOCALS~1\Temp\6348F7E6-BAB0-7891-84EB-BEC4C84304E3\Latest\BabMaint.exe
    [2013/08/04 16:00:52 | 000,010,320 | ---- | M] () -- C:\DOCUME~1\jcld\LOCALS~1\Temp\6F11CE65-BAB0-7891-9710-7E80CB287E00\Latest\BabMaint.exe
    [2013/08/04 16:00:52 | 000,010,320 | ---- | M] () -- C:\DOCUME~1\jcld\LOCALS~1\Temp\838FE985-BAB0-7891-9EFE-A8414AF5F0E5\Latest\BabMaint.exe
    [2013/08/04 16:00:52 | 000,010,320 | ---- | M] () -- C:\DOCUME~1\jcld\LOCALS~1\Temp\8EC0643A-BAB0-7891-88CE-81BFF5794733\Latest\BabMaint.exe
    [2013/08/04 16:00:52 | 000,010,320 | ---- | M] () -- C:\DOCUME~1\jcld\LOCALS~1\Temp\9D64F049-BAB0-7891-8443-F4FE69C8CAB6\Latest\BabMaint.exe
    [2013/08/04 16:00:52 | 000,010,320 | ---- | M] () -- C:\DOCUME~1\jcld\LOCALS~1\Temp\B84AB03B-BAB0-7891-B922-3A829000277C\Latest\BabMaint.exe
    [2013/08/04 16:00:52 | 000,010,320 | ---- | M] () -- C:\DOCUME~1\jcld\LOCALS~1\Temp\DA8DA159-BAB0-7891-B6C4-CE7902FEAEA4\Latest\BabMaint.exe
    [2013/09/12 14:26:50 | 000,187,344 | ---- | M] () -- C:\DOCUME~1\jcld\LOCALS~1\Temp\ins1536\OfferBox_2211-dbd91662.exe
    [2013/09/12 13:59:42 | 002,087,232 | ---- | M] (Iminent) -- C:\DOCUME~1\jcld\LOCALS~1\Temp\ins6537\IminentSetup_2905-512c3791.exe
    [2013/09/12 13:59:48 | 000,663,269 | ---- | M] (Box ore) -- C:\DOCUME~1\jcld\LOCALS~1\Temp\ins6537\OBBoxore_0307-76302122.exe
    [2013/09/12 14:01:06 | 006,347,856 | ---- | M] (PC Utilities Pro) -- C:\DOCUME~1\jcld\LOCALS~1\Temp\ins6537\OptimizerPro.exe
    HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\chrome.exe\shell\open\command\\: "C:\Program Files\Google\Chrome\Application\chrome.exe" http://www.qvo6.com/?utm_source=b&utm_medium=slbnew&utm_campaign=eXQ&utm_content=sc&from=slbnew&uid=TOSHIBAXMK4025GAS_Y43N3642SXXY43N3642S&ts=1379098373 [2013/09/02 22:36:00 | 000,829,392 | ---- | M] (Google Inc.)
    HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\Google Chrome\shell\open\command\\: "C:\Program Files\Google\Chrome\Application\chrome.exe" http://www.qvo6.com/?utm_source=b&utm_medium=slbnew&utm_campaign=eXQ&utm_content=sc&from=slbnew&uid=TOSHIBAXMK4025GAS_Y43N3642SXXY43N3642S&ts=1379098373 [2013/09/02 22:36:00 | 000,829,392 | ---- | M] (Google Inc.)
    HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\shell\open\command\\: C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=slbnew&utm_campaign=eXQ&utm_content=sc&from=slbnew&uid=TOSHIBAXMK4025GAS_Y43N3642SXXY43N3642S&ts=1379098373 [2009/03/08 14:09:26 | 000,638,816 | ---- | M] (Microsoft Corporation)
    HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\chrome.exe\shell\open\command\\: "C:\Program Files\Google\Chrome\Application\chrome.exe" http://www.qvo6.com/?utm_source=b&utm_medium=slbnew&utm_campaign=eXQ&utm_content=sc&from=slbnew&uid=TOSHIBAXMK4025GAS_Y43N3642SXXY43N3642S&ts=1379098373 [2013/09/02 22:36:00 | 000,829,392 | ---- | M] (Google Inc.)
    HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\Google Chrome\shell\open\command\\: "C:\Program Files\Google\Chrome\Application\chrome.exe" http://www.qvo6.com/?utm_source=b&utm_medium=slbnew&utm_campaign=eXQ&utm_content=sc&from=slbnew&uid=TOSHIBAXMK4025GAS_Y43N3642SXXY43N3642S&ts=1379098373 [2013/09/02 22:36:00 | 000,829,392 | ---- | M] (Google Inc.)
    HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\shell\open\command\\: C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=slbnew&utm_campaign=eXQ&utm_content=sc&from=slbnew&uid=TOSHIBAXMK4025GAS_Y43N3642SXXY43N3642S&ts=1379098373 [2009/03/08 14:09:26 | 000,638,816 | ---- | M] (Microsoft Corporation)


    [*] Clique sur le bouton "Correction" en haut à gauche puis patiente durant le suppression.

    [*] Le PC va redémarrer (si ce n'est pas le cas, fais le manuellement).

    [*] Héberge le rapport résultant sur cijoint ou pjoint ou Up2Share et transmet moi le lien obtenu. et fournis moi le lien en retour.

    Note : Les éléments supprimés sont déplacés dans la quarantaine d'OTL (soit par défaut : C:_OTLMovedFiles. )
    que tu pourras éventuellement restaurer au cas où ...
    Il est donc tout à fait normal que par la suite ton antivirus détecte des éléments malicieux dans la quarantaine d'OTL : C:_OTLMovedFiles

    A+

    --------Contributeur Sécurité---------
    Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
    0
  12. jcld Messages postés 136 Statut Membre 2
     
    avec quelques problèmes flash player est réinstallé
    0
  13. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    jcld,

    Après le script OTL tu as redémarré ta machine ?

    Qvo6 devrait avoir disparu, mais tu avais d'autres infections.
    0
  14. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    jcld,

    Après le script OTL tu as redémarré ta machine ?

    Qvo6 devrait avoir disparu, mais tu avais d'autres infections.

    * Télécharge Malwaresbytes anti malware

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installation ) et mets le à jour .
    * Tu as un tuto si tu en as besoin : tuto

    * Avant de lancer le programme Déconnecte toi d'Internet et ferme toutes tes applications.

    * /I\ Sous Vista ou Seven ---> clic droit "Exécuter en tant qu'administrateur"/I\
    * Clique sur l'onglet "Mise à jour" si celle ci ne t'a pas été proposée lors de l'installation.
    * Clique ensuite sur l'onglet "Recherche" puis coche "Exécuter un examen Complet"
    * Le scan peut durer plusieurs heures, aussi ne t'impatiente pas et laisse tourner le programme sans rien faire d'autre sur ta machine.
    * Lorsque le scan est terminé clique sur "Afficher les résultats"
    * Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

    PS : Redémarre ta machine pour achever le nettoyage.

    * Enregistre-le rapport de Suppression (onglet "rapport/log", le dernier en date) dans un endroit approprié pour le retrouver et héberge-le sur cijoint ou pjoint

    * Envoie-moi le lien fourni dans ta prochaine réponse.

    A+

    --------Contributeur Sécurité---------
    Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
    0
  15. jcld Messages postés 136 Statut Membre 2
     
    bonjour,
    je vais continuer les manips mais qvo6 est toujours présent dans les raccourcis et j'ai deux lignes non supprimées dans le registre trouvées par adw

    https://www.cjoint.com/?3Ioh6TN529T

    jcld
    0
  16. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    jcld,

    Sous AdwCleaner coche tout et ---> Nettoyer

    A+
    0
  17. jcld Messages postés 136 Statut Membre 2
     
    pour AdwCleaner je l'ai plusieurs fois sans résultat
    je retrouve toujours ces mêmes infections
    0
  18. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    jcld,

    colle le rapport stp !

    A+
    0
  • 1
  • 2
  • 3