Infection par QV06

Sujet verrouillé

Infection par QV06#54504

par chantal07 - mer. 7 août 2013 11:18

- mer. 7 août 2013 11:18 #54504

Bonjour
Mon PC est lui aussi infesté par QV06. Pourrais-je avoir de l'aide SVP ? Merci !

Re: Infection par QV06#54507

par 91300 - mer. 7 août 2013 11:22

- mer. 7 août 2013 11:22 #54507

bonjour,

pour commencer la désinfection, nous allons effectuer un diagnostique de ton pc, ceci dans le but de savoir exactement à quoi nous avons à faire:

Télécharge ZHPDiag sur ton bureau : https://www.sosvirus.net/telecharger/zhpdiag/
Laisse-toi guider lors de l'installation.
Ouvre ZHPDiag (icône parchemin) puis clique sur Configurer.
Dans les icônes qui apparaissent en bas, clique sur la loupe la plus à droite (Diagnostic avec légitimes). Dans la fenêtre qui apparaît demandant un rapport avec full options, clique sur Oui, puis patiente le temps du scan.
Héberge le rapport ZHPDiag.txt présent sur ton bureau sur le site ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse :
http://www.cjoint.com
Tutoriel ZHPdiag, si tu n'as pas tout compris : http://www.forum-entraide-informatique. ... g-tutoriel
Tutoriel cjoint, si besoin : http://www.forum-entraide-informatique. ... riel#16374

Re: Infection par QV06#54514

par chantal07 - mer. 7 août 2013 11:51

- mer. 7 août 2013 11:51 #54514

Voici le lien :
http://cjoint.com/?CHhlYn3wm9i

Merci !

Re: Infection par QV06#54519

par 91300 - mer. 7 août 2013 12:08

- mer. 7 août 2013 12:08 #54519

bien, c'est pas mal, c'est tout pleins de belle infection

pour commencer, tu vas exécuter cet utilitaire pour vérifier quelque chose:

Télécharge TDSSKiller : http://support.kaspersky.com/downloads/ ... killer.zip
Lance-le (Utilisateurs de Vista/Seven = Clique droit puis "Exécuter en tant que administrateur")

L'outil va télécharger automatiquement la dernière version de TDSSKiller.
Clique sur "Start Scan".

Patiente pendant le scan. À la fin de l'analyse, appuie sur Report (en haut à droite du logiciel). Un rapport va s'ouvrir.
Copie/Colle son contenu dans ta prochaine réponse sur le forum.

Note : Le rapport se trouve également sous C:\tdsskiller.txt.

Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4 (\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess est détecté règle sur "cure" en haut, et "delete" en bas.

Aide en vidéo : http://www.youtube.com/watch?v=-JhW3Okr ... e=youtu.be

Canned speech issu de FEI : http://www.forum-entraide-informatique.com/

une fois ceci réaliser, nous nous attaquerons aux publicité que tu dois avoir ainsi qu'au changement dans la page de démarrage:

Télécharge AdwCleaner (d'Xplode) sur ton bureau.
lance AdwCleaner, puis clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse, comme la fois précédente.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Canned speech issu de FEI : http://www.forum-entraide-informatique.com/

+++

Re: Infection par QV06#54520

par chantal07 - mer. 7 août 2013 12:29

- mer. 7 août 2013 12:29 #54520

Voici le rapport : http://cjoint.com/?CHhmvJtF7JF

Pour l'instant, je n'ai pas de problème de fenêtres intempestives (...mon mari en a sur son PC... je te l'adresserai ultérieurement )

En revanche, j'ai d'autres soucis : je n'arrive plus toujours à sélectionner le texte, à modifier la taille de fenêtre et plus du tout à sélectionner une partie d'image dans paint ou photo editor pour la déplacer ou la rogner...

Re: Infection par QV06#54521

par 91300 - mer. 7 août 2013 12:32

- mer. 7 août 2013 12:32 #54521

ok pour TDSSKiller, fais quand même adwCleaner, tu as sur ton pc ce qu'on appel des adwares (ou publiciel) et adwcleaner va t'en débarrasser.

Re: Infection par QV06#54529

par chantal07 - mer. 7 août 2013 12:50

- mer. 7 août 2013 12:50 #54529

AdwCleaner[R1] : http://cjoint.com/?CHhmSN5sciG

AdwCleaner[S1] : http://cjoint.com/13au/CHhmUiYRBXH.htm

AdwCleaner[S2] : http://cjoint.com/?CHhmXyZRGO3

Re: Infection par QV06#54532

par chantal07 - mer. 7 août 2013 12:55

- mer. 7 août 2013 12:55 #54532

Super : lorsque j'ouvre Google Chrome, je n'ai plus la page QV06 !

En revanche, j'ai toujours des problèmes pour sélectionner du texte ou des images (j'ai eu beaucoup de mal à copier les liens sur l'hébergeur !) et à modifier la taille des fenêtres...

Re: Infection par QV06#54533

par 91300 - mer. 7 août 2013 12:57

- mer. 7 août 2013 12:57 #54533

bien c'est mieux alors déjà

continuons:

Télécharge MalwareBytes' Anti-Malware à cette adresse.
Enregistre-le sur ton bureau.
Double-clic sur le fichier téléchargé pour lancer le processus d'installation (Si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte)
Une fois le logiciel installé et lancé, va dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour.
Fais le plusieurs fois jusqu'à ce qu'il te dise que tu possèdes la dernière version de base de données.

Une fois la mise à jour terminée :
Rends-toi dans l'onglet "Recherche" .
Sélectionne Exécuter un Examen complet.
Sélectionne Tous les disques si proposé.
Clique sur Rechercher.
Le scan démarre patiente, plusieurs heures de scan sont probables.
À la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement, clique sur "Afficher les résultats" pour afficher tous les objets trouvés.
Clique sur Ok pour poursuivre.
Si des éléments ont été détectés, cliques sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, ce qui va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
Redémarre le pc s'il ne le fait pas lui même.
Une fois redémarré double-clique sur Malwarebytes' AntiMalware.
Rends toi dans l'onglet Rapport/logs.
Tu cliques dessus pour l'afficher, colle son contenu dans ta prochaine réponse.

Aide en vidéo : http://www.youtube.com/watch?v=QYRwV6Z6 ... e=youtu.be

Canned speech issu de FEI : http://www.forum-entraide-informatique.com/

Re: Infection par QV06#54582

par chantal07 - mer. 7 août 2013 20:08

- mer. 7 août 2013 20:08 #54582

Et voilà : http://cjoint.com/13au/CHhuhzaZ48L.htm

Re: Infection par QV06#54586

par chantal07 - mer. 7 août 2013 20:13

- mer. 7 août 2013 20:13 #54586

Trop génial, mes copier-coller fonctionnent à nouveau ! Merci BEAUCOUP !

Re: Infection par QV06#54700

par 91300 - jeu. 8 août 2013 12:05

- jeu. 8 août 2013 12:05 #54700

ce n'est pas terminer, si tu arrètes en plein milieux de désinfection, tu auras des problèmes avant même d'avoir pu dire ouf

refais moi un zhpdiag stp

Re: Infection par QV06#54709

par chantal07 - jeu. 8 août 2013 13:00

- jeu. 8 août 2013 13:00 #54709

Voici le Zhpdiag : http://cjoint.com/?CHim7Kim8Rt

Re: Infection par QV06#54774

par chantal07 - jeu. 8 août 2013 16:59

- jeu. 8 août 2013 16:59 #54774

Effectivement, je crois qu'il faudra une grosse piqûre de rappel : mon PC bugge à nouveau !
Du coup, je fais un nouveau Zhpdiag : http://cjoint.com/13au/CHiq57Agq0v.htm

Re: Infection par QV06#54780

par 91300 - jeu. 8 août 2013 17:47

- jeu. 8 août 2013 17:47 #54780

Ce script va cibler certains éléments à supprimer :

• Copie les lignes suivantes :

• Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit -- Exécuter en temps qu'administrateur)
• Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
• Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes.
• Clique sur le bouton « GO » pour lancer le nettoyage.
• Copie/colle la totalité du rapport dans ta prochaine réponse.

au passage, vu les infections, je t'invites à lire ceci :http://rdtutos.fr/fiche-malware-adware.html

n'hésite pas non plus à me donner ton ressenti dessus, ce site est en cours de construction.

++

Re: Infection par QV06#54804

par chantal07 - jeu. 8 août 2013 20:43

- jeu. 8 août 2013 20:43 #54804

Il me demande si je veux désinstaller Windows Installer... Je dis Oui ou Non ?

Re: Infection par QV06#54818

par 91300 - jeu. 8 août 2013 21:59

- jeu. 8 août 2013 21:59 #54818

oula attend alors, ya peut être une ligne qui est la qui ne devrait pas quitte tout je regarde et te confirme ca

Re: Infection par QV06#54820

par 91300 - jeu. 8 août 2013 22:09

- jeu. 8 août 2013 22:09 #54820

le script était bon, c'est un adware qui se loge dans le dossier installer, tu peux donc bien opérer ce script

• Copie les lignes suivantes :

R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
O3 - Toolbar: (no name) - [HKLM]{98889811-442D-49dd-99D7-DC866BE87DBC} Clé orpheline
O20 - AppInit_DLLs: . (...) - C:\Program Files\Optimizer Pro\OptProCrash.dll
O42 - Logiciel: Boxore Client - (.Boxore OU.) [HKLM] -- {497BCFDD-F589-448D-A1C3-78D1B1809CCC}
O42 - Logiciel: Yahoo Community Smartbar - (.Linkury Inc..) [HKLM] -- {7DAA6286-1E0A-4954-A7FF-8E6F9AC7EE75}
[HKCU\Software\LdShih]
O43 - CFD: 07/08/2013 - 17:16:59 - [6,342] ----D C:\Program Files\Optimizer Pro
O53 - SMSR:HKLM\...\startupreg\EoEngine [Key] . (...) -- C:\Program Files\EoRezo\EoEngine.exe (.not file.)
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Search the web (Babylon)) - http://search.babylon.com
[MD5.F9E6AB4F8A264446A2933C370DD65122] [WIS][31/07/2013] (.Linkury Inc. - Yahoo Community Smartbar (by Linkury).) -- C:\Windows\Installer\119a5fcc.msi [9302016]
[MD5.EABB50794F7B1CBC4C219B29F73E4151] [WIS][16/03/2012] (.Boxore OU - Boxore Client Installer.) -- C:\Windows\Installer\23e0a20.msi [1540096]
[MD5.2B4435B8A24C72CB360B64EB4397D43A] [WIS][07/03/2012] (.Boxore OU. - Software Update Helper.) -- C:\Windows\Installer\6cc7c5a.msi [45056]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{497BCFDD-F589-448D-A1C3-78D1B1809CCC}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{7DAA6286-1E0A-4954-A7FF-8E6F9AC7EE75}]
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\EoEngine]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]
[HKLM\Software\Classes\AppID\EoRezoBHO.DLL]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E5C8B5FB7CB5DD447A0BAAAF637FBD77]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF96568971BEAC14B8815883832BD484]
[HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}]
[HKLM\Software\{1146AC44-2F03-4431-B4FD-889BC837521F}] =
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158}]
C:\Program Files\Optimizer Pro
C:\Program Files\Optimizer Pro\OptProCrash.dll
C:\Windows\Installer\119a5fcc.msi
C:\Windows\Installer\23e0a20.msi
C:\Windows\Installer\6cc7c5a.msi

• Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit -- Exécuter en temps qu'administrateur)
• Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
• Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes.
• Clique sur le bouton « GO » pour lancer le nettoyage.
• Copie/colle la totalité du rapport dans ta prochaine réponse.

Re: Infection par QV06#54854

par chantal07 - ven. 9 août 2013 10:30

- ven. 9 août 2013 10:30 #54854

L'opération a été très courte... Voici le rapport :
Rapport de ZHPFix 2013.7.20.5 par Nicolas Coolman, Update du 20/07/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-09-08-2013-10-28-28.txt
Run by Chantal at 09/08/2013 10:28:28
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Logiciel(s) ==========
ABSENT Software Key: {497BCFDD-F589-448D-A1C3-78D1B1809CCC}
ABSENT Software Key: {7DAA6286-1E0A-4954-A7FF-8E6F9AC7EE75}

========== Module(s) mémoire ==========
SUPPRIME Reboot Memory Module: C:\Program Files\Optimizer Pro\OptProCrash.dll

========== Clé(s) du Registre ==========
ABSENT Key: HKCU\Software\LdShih
ABSENT Key: StartupReg: EoEngine
ABSENT SearchScopes :{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{497BCFDD-F589-448D-A1C3-78D1B1809CCC}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{7DAA6286-1E0A-4954-A7FF-8E6F9AC7EE75}
ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\EoEngine
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}
ABSENT Key: HKLM\Software\Classes\AppID\EoRezoBHO.DLL
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E5C8B5FB7CB5DD447A0BAAAF637FBD77
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF96568971BEAC14B8815883832BD484
ABSENT Key: HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
ABSENT Key: HKLM\Software\{1146AC44-2F03-4431-B4FD-889BC837521F}
ABSENT Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158}

========== Valeur(s) du Registre ==========
ABSENT Toolbar: {98889811-442D-49dd-99D7-DC866BE87DBC}

========== Elément(s) de donnée du Registre ==========
SUPPRIME AppInit: \Program Files\Optimizer Pro\OptProCrash.dll

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\Program Files\Optimizer Pro

========== Fichier(s) ==========
SUPPRIME Reboot \program files\optimizer pro\optprocrash.dll
ABSENT File: c:\program files\eorezo\eoengine.exe
ABSENT Folder/File: c:\windows\installer\119a5fcc.msi
ABSENT Folder/File: c:\windows\installer\23e0a20.msi
ABSENT Folder/File: c:\windows\installer\6cc7c5a.msi

========== Récapitulatif ==========
1 : Module(s) mémoire
13 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
5 : Fichier(s)
2 : Logiciel(s)

End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 09/08/2013 09:25:58 [3147]
C:\ZHP\ZHPFix[R2].txt - 09/08/2013 10:28:28 [2675]

Re: Infection par QV06#54867

par 91300 - ven. 9 août 2013 11:55

- ven. 9 août 2013 11:55 #54867

ok, peux tu me faire encore un zhpdiag afin de vérifier que tout est cette fois bien parti ?

++

Re: Infection par QV06#54905

par chantal07 - ven. 9 août 2013 13:12

- ven. 9 août 2013 13:12 #54905

http://cjoint.com/13au/CHjnmeqnqZp.htm

Re: Infection par QV06#54928

par 91300 - ven. 9 août 2013 16:08

- ven. 9 août 2013 16:08 #54928

ha ya que deux petites lignes qui m'avaient échappé:

O43 - CFD: 09/08/2013 - 10:25:40 - [1,575] ----D C:\Program Files\Optimizer Pro
C:\Program Files\Optimizer Pro

peux tu les faires passer à zhpfix comme ici: http://www.forum-entraide-informatique. ... qv06#54854 en remplaçant les lignes par celles que je viens de te donner bien sur

ensuite, je te donne la procédure de... Fin de désinfection

++

Re: Infection par QV06#54929

par chantal07 - ven. 9 août 2013 16:12

- ven. 9 août 2013 16:12 #54929

Rapport de ZHPFix 2013.7.20.5 par Nicolas Coolman, Update du 20/07/2013
Fichier d'export Registre :
Run by Chantal at 09/08/2013 16:11:23
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\Program Files\Optimizer Pro

========== Récapitulatif ==========
1 : Dossier(s)

End of clean in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 09/08/2013 09:25:58 [3147]
C:\ZHP\ZHPFix[R2].txt - 09/08/2013 09:28:28 [2727]
C:\ZHP\ZHPFix[R3].txt - 09/08/2013 16:11:23 [596]

Je redémarre mon PC, maintenant.

Infection par QV06#63327

par 2011N2 - dim. 22 sept. 2013 11:30

- dim. 22 sept. 2013 11:30 #63327

Bonjour,

Je vois que 91300 n'a pas donné de nouvelles.

Tu es toujours là ?

Si oui, la procédure de finalisation est la suivante : http://www.forum-entraide-informatique. ... nalisation

Gabriel.

Re: Infection par QV06#63519

par mlac - dim. 22 sept. 2013 23:52

- dim. 22 sept. 2013 23:52 #63519

Voici mon rapport ZHP diag

http://cjoint.com/?CIwxCxctpKl

Merci

Re: Infection par QV06#63528

par 2011N2 - lun. 23 sept. 2013 06:03

- lun. 23 sept. 2013 06:03 #63528

Bonjour,

Voici mon rapport ZHP diag

http://cjoint.com/?CIwxCxctpKl

MerciOuvre un nouveau sujet : http://www.forum-entraide-informatique. ... e=newtopic

Merci,

Gabriel.

Infection par QV06#65792

par 2011N2 - sam. 5 oct. 2013 17:57

- sam. 5 oct. 2013 17:57 #65792

Où en-est votre problème ?

Deux solutions,

Votre problème est résolu, dans ce cas pensez à nous en faire part.
Votre problème est toujours d'actualité, merci de nous renseigner sur ce qui ne va pas, et donner des nouvelles régulièrement.

À bientôt sur FEI !

Infection par QV06#66719

par 2011N2 - ven. 11 oct. 2013 21:03

- ven. 11 oct. 2013 21:03 #66719

Bonjour,

Nous n'avons plus de nouvelle de l'auteur de ce sujet depuis plus de 10 jours. Nous considérons donc ce problème comme résolu ou abandonné par son auteur. La prochaine fois, merci de nous tenir au courant de l'évolution de votre problème, ou à faire un UP régulièrement !

Ce sujet est verrouillé, si vous souhaitez le reprendre, merci de contacter par message privé un membre de l'équipe de modération du forum.

À bientôt sur FEI !