Forum d'Entraide Informatique (FEI)

Bonjour
Mon PC est lui aussi infesté par QV06. Pourrais-je avoir de l'aide SVP ? Merci !

bonjour,

pour commencer la désinfection, nous allons effectuer un diagnostique de ton pc, ceci dans le but de savoir exactement à quoi nous avons à faire:

• Télécharge ZHPDiag sur ton bureau : https://www.sosvirus.net/telecharger/zhpdiag/
• Laisse-toi guider lors de l'installation.
• Ouvre ZHPDiag (icône parchemin) puis clique sur Configurer.
• Dans les icônes qui apparaissent en bas, clique sur la loupe la plus à droite (Diagnostic avec légitimes). Dans la fenêtre qui apparaît demandant un rapport avec full options, clique sur Oui, puis patiente le temps du scan.
• Héberge le rapport ZHPDiag.txt présent sur ton bureau sur le site ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse :
  http://www.cjoint.com
• Tutoriel ZHPdiag, si tu n'as pas tout compris : http://www.forum-entraide-informatique. ... g-tutoriel
• Tutoriel cjoint, si besoin : http://www.forum-entraide-informatique. ... riel#16374

Voici le lien :
http://cjoint.com/?CHhlYn3wm9i

Merci !

bien, c'est pas mal, c'est tout pleins de belle infection

pour commencer, tu vas exécuter cet utilitaire pour vérifier quelque chose:

• Télécharge TDSSKiller : http://support.kaspersky.com/downloads/ ... killer.zip
• Lance-le (Utilisateurs de Vista/Seven = Clique droit puis "Exécuter en tant que administrateur")
  
  L'outil va télécharger automatiquement la dernière version de TDSSKiller.
• Clique sur "Start Scan".
  
  Patiente pendant le scan. À la fin de l'analyse, appuie sur Report (en haut à droite du logiciel). Un rapport va s'ouvrir.
• Copie/Colle son contenu dans ta prochaine réponse sur le forum.

Note : Le rapport se trouve également sous C:\tdsskiller.txt.

Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4 (\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess est détecté règle sur "cure" en haut, et "delete" en bas.

Aide en vidéo : http://www.youtube.com/watch?v=-JhW3Okr ... e=youtu.be

Canned speech issu de FEI : http://www.forum-entraide-informatique.com/

une fois ceci réaliser, nous nous attaquerons aux publicité que tu dois avoir ainsi qu'au changement dans la page de démarrage:

Télécharge AdwCleaner (d'Xplode) sur ton bureau.
lance AdwCleaner, puis clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse, comme la fois précédente.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Canned speech issu de FEI : http://www.forum-entraide-informatique.com/


+++

Voici le rapport : http://cjoint.com/?CHhmvJtF7JF

Pour l'instant, je n'ai pas de problème de fenêtres intempestives (...mon mari en a sur son PC... je te l'adresserai ultérieurement  )

En revanche, j'ai d'autres soucis : je n'arrive plus toujours à sélectionner le texte, à modifier la taille de fenêtre et plus du tout à sélectionner une partie d'image dans paint ou photo editor pour la déplacer ou la rogner...

ok pour TDSSKiller, fais quand même adwCleaner, tu as sur ton pc ce qu'on appel des adwares (ou publiciel) et adwcleaner va t'en débarrasser.

AdwCleaner[R1] : http://cjoint.com/?CHhmSN5sciG

AdwCleaner[S1] : http://cjoint.com/13au/CHhmUiYRBXH.htm

AdwCleaner[S2] : http://cjoint.com/?CHhmXyZRGO3

Super : lorsque j'ouvre Google Chrome, je n'ai plus la page QV06 !

En revanche, j'ai toujours des problèmes pour sélectionner du texte ou des images (j'ai eu beaucoup de mal à copier les liens sur l'hébergeur !) et à modifier la taille des fenêtres...

bien c'est mieux alors déjà

continuons:

• Télécharge MalwareBytes' Anti-Malware à cette adresse.
• Enregistre-le sur ton bureau.
• Double-clic sur le fichier téléchargé pour lancer le processus d'installation (Si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte)
• Une fois le logiciel installé et lancé, va dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour.
  Fais le plusieurs fois jusqu'à ce qu'il te dise que tu possèdes la dernière version de base de données.
  
  Une fois la mise à jour terminée :
• Rends-toi dans l'onglet "Recherche" .
• Sélectionne Exécuter un Examen complet.
• Sélectionne Tous les disques si proposé.
• Clique sur Rechercher.
• Le scan démarre patiente, plusieurs heures de scan sont probables.
• À la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement, clique sur "Afficher les résultats" pour afficher tous les objets trouvés.
• Clique sur Ok pour poursuivre.
• Si des éléments ont été détectés, cliques sur Afficher les résultats.
• Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, ce qui va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
• Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
• Redémarre le pc s'il ne le fait pas lui même.
• Une fois redémarré double-clique sur Malwarebytes' AntiMalware.
• Rends toi dans l'onglet Rapport/logs.
• Tu cliques dessus pour l'afficher, colle son contenu dans ta prochaine réponse.

Aide en vidéo : http://www.youtube.com/watch?v=QYRwV6Z6 ... e=youtu.be

Canned speech issu de FEI : http://www.forum-entraide-informatique.com/

Et voilà : http://cjoint.com/13au/CHhuhzaZ48L.htm

Trop génial, mes copier-coller fonctionnent à nouveau ! Merci BEAUCOUP !  

ce n'est pas terminer, si tu arrètes en plein milieux de désinfection, tu auras des problèmes avant même d'avoir pu dire ouf

refais moi un zhpdiag stp

Voici le Zhpdiag : http://cjoint.com/?CHim7Kim8Rt

Effectivement, je crois qu'il faudra une grosse piqûre de rappel : mon PC bugge à nouveau !
Du coup, je fais un nouveau Zhpdiag : http://cjoint.com/13au/CHiq57Agq0v.htm

Ce script va cibler certains éléments à supprimer :

• Copie les lignes suivantes :

 • Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit -- Exécuter en temps qu'administrateur)
• Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
• Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes.
• Clique sur le bouton « GO » pour lancer le nettoyage.
• Copie/colle la totalité du rapport dans ta prochaine réponse.

au passage, vu les infections, je t'invites à lire ceci :http://rdtutos.fr/fiche-malware-adware.html

n'hésite pas non plus à me donner ton ressenti dessus, ce site est en cours de construction.

++

Il me demande si je veux désinstaller Windows Installer... Je dis Oui ou Non ?

oula attend alors, ya peut être une ligne qui est la qui ne devrait pas quitte tout je regarde et te confirme ca

le script était bon, c'est un adware qui se loge dans le dossier installer, tu peux donc bien opérer ce script

• Copie les lignes suivantes :

R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
O3 - Toolbar: (no name) - [HKLM]{98889811-442D-49dd-99D7-DC866BE87DBC} Clé orpheline
O20 - AppInit_DLLs: . (...) - C:\Program Files\Optimizer Pro\OptProCrash.dll
O42 - Logiciel: Boxore Client - (.Boxore OU.) [HKLM] -- {497BCFDD-F589-448D-A1C3-78D1B1809CCC}
O42 - Logiciel: Yahoo Community Smartbar - (.Linkury Inc..) [HKLM] -- {7DAA6286-1E0A-4954-A7FF-8E6F9AC7EE75}
[HKCU\Software\LdShih]
O43 - CFD: 07/08/2013 - 17:16:59 - [6,342] ----D C:\Program Files\Optimizer Pro
O53 - SMSR:HKLM\...\startupreg\EoEngine [Key] . (...) -- C:\Program Files\EoRezo\EoEngine.exe (.not file.)
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Search the web (Babylon)) - http://search.babylon.com
[MD5.F9E6AB4F8A264446A2933C370DD65122] [WIS][31/07/2013] (.Linkury Inc. - Yahoo Community Smartbar (by Linkury).) -- C:\Windows\Installer\119a5fcc.msi [9302016]
[MD5.EABB50794F7B1CBC4C219B29F73E4151] [WIS][16/03/2012] (.Boxore OU - Boxore Client Installer.) -- C:\Windows\Installer\23e0a20.msi [1540096]
[MD5.2B4435B8A24C72CB360B64EB4397D43A] [WIS][07/03/2012] (.Boxore OU. - Software Update Helper.) -- C:\Windows\Installer\6cc7c5a.msi [45056]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{497BCFDD-F589-448D-A1C3-78D1B1809CCC}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{7DAA6286-1E0A-4954-A7FF-8E6F9AC7EE75}]
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\EoEngine]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]
[HKLM\Software\Classes\AppID\EoRezoBHO.DLL]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E5C8B5FB7CB5DD447A0BAAAF637FBD77]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF96568971BEAC14B8815883832BD484]
[HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}]
[HKLM\Software\{1146AC44-2F03-4431-B4FD-889BC837521F}] =
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158}]
C:\Program Files\Optimizer Pro
C:\Program Files\Optimizer Pro\OptProCrash.dll
C:\Windows\Installer\119a5fcc.msi
C:\Windows\Installer\23e0a20.msi
C:\Windows\Installer\6cc7c5a.msi

• Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit -- Exécuter en temps qu'administrateur)
• Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
• Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes.
• Clique sur le bouton « GO » pour lancer le nettoyage.
• Copie/colle la totalité du rapport dans ta prochaine réponse.

L'opération a été très courte... Voici le rapport :
Rapport de ZHPFix 2013.7.20.5 par Nicolas Coolman, Update du 20/07/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-09-08-2013-10-28-28.txt
Run by Chantal at 09/08/2013 10:28:28
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Logiciel(s) ==========
ABSENT Software Key: {497BCFDD-F589-448D-A1C3-78D1B1809CCC}
ABSENT Software Key: {7DAA6286-1E0A-4954-A7FF-8E6F9AC7EE75}

========== Module(s) mémoire ==========
SUPPRIME Reboot Memory Module: C:\Program Files\Optimizer Pro\OptProCrash.dll

========== Clé(s) du Registre ==========
ABSENT Key: HKCU\Software\LdShih
ABSENT Key: StartupReg: EoEngine
ABSENT SearchScopes :{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{497BCFDD-F589-448D-A1C3-78D1B1809CCC}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{7DAA6286-1E0A-4954-A7FF-8E6F9AC7EE75}
ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\EoEngine
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}
ABSENT Key: HKLM\Software\Classes\AppID\EoRezoBHO.DLL
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E5C8B5FB7CB5DD447A0BAAAF637FBD77
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF96568971BEAC14B8815883832BD484
ABSENT Key: HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
ABSENT Key: HKLM\Software\{1146AC44-2F03-4431-B4FD-889BC837521F}
ABSENT Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158}

========== Valeur(s) du Registre ==========
ABSENT Toolbar: {98889811-442D-49dd-99D7-DC866BE87DBC}

========== Elément(s) de donnée du Registre ==========
SUPPRIME AppInit: \Program Files\Optimizer Pro\OptProCrash.dll

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\Program Files\Optimizer Pro

========== Fichier(s) ==========
SUPPRIME Reboot \program files\optimizer pro\optprocrash.dll
ABSENT File: c:\program files\eorezo\eoengine.exe
ABSENT Folder/File: c:\windows\installer\119a5fcc.msi
ABSENT Folder/File: c:\windows\installer\23e0a20.msi
ABSENT Folder/File: c:\windows\installer\6cc7c5a.msi


========== Récapitulatif ==========
1 : Module(s) mémoire
13 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
5 : Fichier(s)
2 : Logiciel(s)


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 09/08/2013 09:25:58 [3147]
C:\ZHP\ZHPFix[R2].txt - 09/08/2013 10:28:28 [2675]

ok, peux tu me faire encore un zhpdiag afin de vérifier que tout est cette fois bien parti ?

++

ha ya que deux petites lignes qui m'avaient échappé:

O43 - CFD: 09/08/2013 - 10:25:40 - [1,575] ----D C:\Program Files\Optimizer Pro
C:\Program Files\Optimizer Pro

peux tu les faires passer à zhpfix comme ici: http://www.forum-entraide-informatique. ... qv06#54854 en remplaçant les lignes par celles que je viens de te donner bien sur

ensuite, je te donne la procédure de... Fin de désinfection

++

Rapport de ZHPFix 2013.7.20.5 par Nicolas Coolman, Update du 20/07/2013
Fichier d'export Registre :
Run by Chantal at 09/08/2013 16:11:23
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\Program Files\Optimizer Pro


========== Récapitulatif ==========
1 : Dossier(s)


End of clean in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 09/08/2013 09:25:58 [3147]
C:\ZHP\ZHPFix[R2].txt - 09/08/2013 09:28:28 [2727]
C:\ZHP\ZHPFix[R3].txt - 09/08/2013 16:11:23 [596]



Je redémarre mon PC, maintenant.

Bonjour,

Je vois que 91300 n'a pas donné de nouvelles.

Tu es toujours là ?

Si oui, la procédure de finalisation est la suivante : http://www.forum-entraide-informatique. ... nalisation

Gabriel.

Voici mon rapport ZHP diag

http://cjoint.com/?CIwxCxctpKl

Merci

Bonjour,

Voici mon rapport ZHP diag

http://cjoint.com/?CIwxCxctpKl

MerciOuvre un nouveau sujet : http://www.forum-entraide-informatique. ... e=newtopic

Merci,

Gabriel.

Où en-est votre problème ?

Deux solutions,

• Votre problème est résolu, dans ce cas pensez à nous en faire part.
• Votre problème est toujours d'actualité, merci de nous renseigner sur ce qui ne va pas, et donner des nouvelles régulièrement.
  
  
  À bientôt sur FEI !

Bonjour,

Nous n'avons plus de nouvelle de l'auteur de ce sujet depuis plus de 10 jours. Nous considérons donc ce problème comme résolu ou abandonné par son auteur. La prochaine fois, merci de nous tenir au courant de l'évolution de votre problème, ou à faire un UP régulièrement !

Ce sujet est verrouillé, si vous souhaitez le reprendre, merci de contacter par message privé un membre de l'équipe de modération du forum.

À bientôt sur FEI !