Comment supprimer QVO6 ? Résolu/Fermé

Question

Bonsoir,

J'ai un petit soucis sur l'ouverture de Google Chrome, dès que je clique sur l'icone du bureau, une page s'ouvre : "http://www.qvo6.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=ST1000DM005XHD103SJ_S246J9FC431959&ts=13710000423" (QV06). 
J'ai cherché sur beaucoup de topics mais je n'ai pas réussi à le supprimer. J'ai téléchargé ADWCleaner et Malwarebytes Anti-Malware, sans reussite...

Merci d'avance, Maximims.

The Deceiver · Answer

Hello,

Pour commencer, met nous le rapport Malwarebytes et adwcleaner ici.

Supprime  ton raccourci  google chrome puis recrée en un autre(Qvo6 place un lien http vers cette page dans la cible du raccourci)

Maximims · Answer

Voici le rapport de ADWCleaner : 
# AdwCleaner v3.011 - Rapport créé le 09/11/2013 à 19:40:28
# Mis à jour le 03/11/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : user - USER-PC
# Exécuté depuis : C:\Users\MAXIMIMS\Downloads\adwcleaner-3.011.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Présent : C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Dossier Présent : C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldikpdnngdmeceeameoaannjilbjppnm
Dossier Présent : C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\pflphaooapbgpeakohlggbpidpppgdff
Fichier Présent : C:\Windows\System32\Tasks\Browser Updater
Fichier Présent : C:\Windows\System32\Tasks\ProtectedSearch

***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\ Internet Explorer v10.0.9200.16720


-\ Mozilla Firefox v21.0 (fr)

[ Fichier : C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\a1pna64d.default\prefs.js ]


-\ Google Chrome v26.0.1410.43

[ Fichier : C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\preferences ]


[ Fichier : C:\Users\Maxime.user-PC\AppData\Local\Google\Chrome\User Data\Default\preferences ]


[ Fichier : C:\Users\MAXIMIMS\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [148243 octets] - [29/10/2013 16:28:01]
AdwCleaner[R1].txt - [12944 octets] - [09/11/2013 19:04:05]
AdwCleaner[R2].txt - [1873 octets] - [09/11/2013 19:14:45]
AdwCleaner[R3].txt - [1672 octets] - [09/11/2013 19:40:28]
AdwCleaner[S0].txt - [143181 octets] - [29/10/2013 16:29:36]
AdwCleaner[S1].txt - [12258 octets] - [09/11/2013 19:05:15]

########## EOF - \AdwCleaner\AdwCleaner[R3].txt - [1855 octets] ##########

Maximims · Answer

Et celui de Malwarebytes :
Malwarebytes Anti-Malware (Trial) 1.75.0.1300
www.malwarebytes.org

Database version: v2013.11.09.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16721
MAXIMIMS :: USER-PC [limited]

Protection: Enabled

09/11/2013 19:39:59
MBAM-log-2013-11-09 (19-43-57).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 200766
Time elapsed: 3 minute(s), 31 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 7
HKCR\AppID\{CA5CAA63-B27C-4963-9BEC-CB16A36D56F8} (PUP.Optional.MySearchDial.A) -> No action taken.
HKCR\CLSID\{D40753C7-8A59-4C1F-BE88-C300F4624D5B} (PUP.Optional.MySearchDial.A) -> No action taken.
HKCR\TypeLib\{C292AD0A-C11F-479B-B8DB-743E72D283B0} (PUP.Optional.MySearchDial.A) -> No action taken.
HKCR\Typelib\{FBC322D5-407E-4854-8C0B-555B951FD8E3} (PUP.Optional.MySearchDial.A) -> No action taken.
HKCR\Interface\{0400EBCA-042C-4000-AA89-9713FBEDB671} (PUP.Optional.MySearchDial.A) -> No action taken.
HKLM\SYSTEM\CurrentControlSet\Services\WajamUpdaterV3 (PUP.Optional.Wajam.A) -> No action taken.
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> No action taken.

Registry Values Detected: 1
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Data: {BD69BA61-5A80-11E2-A8F8-3CD92B74DAD3} -> No action taken.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 6
C:\Users\Maxime.user-PC\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> No action taken.
C:\Users\user\AppData\Roaming\player (PUP.Optional.VPLMedia.A) -> No action taken.
c:\users\maxime.user-pc\local settings\application data\eorezo (Adware.EoRezo) -> No action taken.
C:\Users\user\AppData\Roaming\WinUpdtr (Trojan.Agent.DGen1) -> No action taken.
c:\users\maxime.user-pc\appdata\locallow\funmoods (PUP.FunMoods) -> No action taken.
c:\users\maxime.user-pc\appdata\local\eorezo (Adware.EoRezo) -> No action taken.

Files Detected: 11
C:\Windows\Installer\50e1b1d.msi (PUP.Optional.SweetIM) -> No action taken.
C:\Windows\Installer\50e1b23.msi (PUP.Optional.SweetIM) -> No action taken.
C:\Windows\Installer\50e1b29.msi (PUP.Optional.SweetIM) -> No action taken.
C:\Windows\Installer\50e1b2f.msi (PUP.Optional.SweetIM) -> No action taken.
C:\Users\user\AppData\Roaming\Microsoft\svchost.exe (Trojan.Agent) -> No action taken.
C:\Users\user\AppData\Roaming\Temp.exe (Trojan.Agent) -> No action taken.
c:\users\user\appdataoaming\microsoft
etwork\connections\svchost.exe (Trojan.Agent) -> No action taken.
C:\Users\user\AppData\Roaming\Microsoft\Windows\dwm.exe (Trojan.Agent) -> No action taken.
c:\users\maxime.user-pc\appdataoaming\babylon\log_file.txt (PUP.Optional.Babylon.A) -> No action taken.
c:\users\user\appdataoaming\player\playlist.vpl (PUP.Optional.VPLMedia.A) -> No action taken.
c:\users\user\appdata\local\google\chrome\user data\default\local storage\chrome-extension_pflphaooapbgpeakohlggbpidpppgdff_0.localstorage (PUP.Optional.FunMoods.A) -> No action taken.

(end)

Malekal_morte- · Answer

Salut,

Tu as des Rats.

Tu as tout supprimé de ce que Malwarebytes a détecté?

Maximims · Answer

Bonsoir Malekal_morte-,

Oui je crois...

Malekal_morte- · Answer

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Maximims · Answer

https://pjjoint.malekal.com/files.php?id=20131109_v13m14n11k14c12
Le fichier Extras.txt
https://pjjoint.malekal.com/files.php?id=20131109_f7v11s14r6n11
Le fichier OTL.txt

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
 [2013/05/21 08:48:07 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\data 
[2012/11/13 12:26:58 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Tiyhk 
[2013/05/21 18:03:55 | 001,169,224 | ---- | C] (Microsoft Corporation) -- C:\Users\user\AppData\Roaming\9ENEGF9T.exe 
[2013/05/17 07:51:08 | 000,386,048 | ---- | C] (Microsoft Corporation) -- C:\Users\user\AppData\Roaming\Temp.exe  
[2013/05/17 07:51:37 | 001,047,040 | ---- | M] (Microsoft Corporation) -- C:\Users\user\AppData\Roaming\Microsoft\svchost.exe  
[2009/07/14 02:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) -- C:\Users\user\AppData\Roaming\Microsoft\Network\Connections\svchost.exe  
[2013/05/21 18:03:54 | 001,091,584 | ---- | M] (Microsoft Corporation) -- C:\Users\user\AppData\Roaming\Microsoft\Windows\dwm.exe  
[2013/05/17 07:50:46 | 000,365,056 | -H-- | M] () -- C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\dwm.exe  


* poste le rapport ici 


~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
 
~~

puis :

Si Firefox et/ou Chrome sont installés :

Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.

Sur Google Chrome : Menu en haut à droite puis Outils / Extensions
Donne la liste.

Marion-23 · Answer

Moi aussi j'ai cette connerie c'est impossible de le supprimer! :o Au pire tu rénitialise ton pc x)

Maximims · Answer

========== OTL ==========
Folder C:\Users\user\AppData\Roaming\data\ not found.
Folder C:\Users\user\AppData\Roaming\Tiyhk\ not found.
File C:\Users\user\AppData\Roaming\9ENEGF9T.exe not found.
File C:\Users\user\AppData\Roaming\Temp.exe not found.
File C:\Users\user\AppData\Roaming\Microsoft\svchost.exe not found.
File C:\Users\user\AppData\Roaming\Microsoft\Network\Connections\svchost.exe not found.
File C:\Users\user\AppData\Roaming\Microsoft\Windows\dwm.exe not found.
File C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\dwm.exe not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 11092013_212731

~~~

Fait 

~~~


Aucune extension n'est installée.

Maximims · Answer

Ah quand j'essaye d'envoyer MovedFiles.zip sur http://upload.malekal.com une page s'ouvre avec ce message d'erreur  : "Le fichier choisi est invalide !".

Malekal_morte- · Answer

il fait quelle taille le fichier movedfiles.zip ?

Maximims · Answer

5092 Ko

Malekal_morte- · Answer

essaye par mail : spamhere-@wanadoo.fr

Change tes mots de passe WEB (facebook, mail etc).
Ils ont été volés.

~~ 

Pour qvo6, ça donne quoi ?

Maximims · Answer

Ils ont été volé ?

~ 

Toujours là :(

Malekal_morte- · Answer

Reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=
* Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
* Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=

NOTE : Pour Firefox et Google Chrome - si rien ne va, il y a la possibilité de les désinstaller/réinstaller, voir liens explicatifs ci-dessus.

puis :  il faut nettoyer les raccourcis (icones) de lancement des navigateurs WEB.
Comme expliqué dans les liens précédents, faire un clic droit sur les icones de raccourcis de lancement des navigateurs puis propriétés. 
Dans cible, à la fin, une adresse http a été ajoutée (exemple https://www.malekal.com/fichiers/forum/malavida_22find_7.png ) pour que le site s'ouvre au démarrage du navigateur, supprimer cette adresse http ET SEULEMENT cette adresse http.

Maximims · Answer

C'est bon, merci ! 
Je n'avais regardé l'icone Google Chrome de la barre Windows, j'ouvrais celui du bureau aha, merci encore, bonne soirée :)

Malekal_morte- · Answer

:)


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Maximims · Answer

Bonjour Malekal_morte-,

Comment met-t-on [Résolu] sur le sujet ?

Malekal_morte- · Answer

Refais un scan OTL et donne le rapport.