Infection par Qvo6 Résolu

[jluc18]

Bonjour à toutes et tous
Je ne suis par trop véloce en informatique,mais je vais essayer d'être le plus clair possible. Mon ordinateur est sous Windows XP avec comme navigateur Firefox.
A l'allumage un "pavé" se met en place "Mise à jour de tuto4pc requise". je ne peux que cliquer sur OK et l'assistant d'installation se lance avec comme seule commande "suivant" (Annuler n'est pas actif). Donc je ne peux éteindre le PC car ;" Fin du programme upt4pc_fr_53.exe Ce système ne répond pas . Je suis obligé de couper l'alimentation. Je ne peux me défaire de cet "intru" qui revient continuellement.
J'ai également
- IE (qui n'est pas mon navigateur habituel) qui m'annonce "Internet ne peux afficher cette page "HTTP: Web.lonfintuna.net/... diagnostiquer les problèmes de connexions"
- Quand je clique sur nouvel onglet j'ai Babylon search qui s'installe en plein écran en me demandant de réparer les erreurs Windows et m'informant de mon espace disque insuffisant, alors que ce n'est pas vrai.
- Intempestivement j'ai des sites qui s'affichent comme "Forges of Empire" ou "Internet-Win.com"
J'ai essayé divers logiciels , mais mon manque de connaissance et de procédure a eu raison de moi
D'avance merci
Cordialement

[Malekal_morte]

Salut,


Télécharge et installe Malwarebyte : https://www.malekal.com/malwarebyte-ant ... les-virus/
Mets le à jour puis fais un scan rapide.
Lorsque le scan est terminé, fais un clic droit / tout cocher.
En bas, bouton supprimer selection.
Redémarre si nécessaire.


puis :

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminéi, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

[jluc18]

Salut Malekal_morte
Merci pour ta réponse rapide et la clarté de tes explications
Bon avec Malware.. j'ai fait un scan et supprimé toute la sélection .Au redémarrage toujours l'apparition de l'assistant d’installation de tuto4pc
Ensuite scan avec adwcleaner . Merci d'avoir précisé ou se trouvait la rapport après nettoyage
Rapport adwcleaner :
# AdwCleaner v3.003 - Rapport créé le 13/09/2013 à 15:53:58
# Mis à jour le 07/09/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Jean - Luc - PERSO-04201E5C0
# Exécuté depuis : C:\Documents and Settings\Jean - Luc.PERSO-04201E5C0\Mes documents\Téléchargements\adwcleaner(1).exe
# Option : Nettoyer

***** [ Services ] *****



***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Documents and Settings\All Users.WINDOWS\Application Data\Babylon
Dossier Supprimé : C:\Program Files\BabylonToolbar
Fichier Supprimé : C:\WINDOWS\Tasks\EPUpdater.job

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\b
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKCU\Software\5228dd0b734e445
Clé Supprimée : HKLM\SOFTWARE\5228dd0b734e445
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{291BCCC1-6890-484A-89D3-318C928DAC1B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B8276A94-891D-453C-9FF3-715C042A2575}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FD8F79A0-D2E2-4FA2-AEAF-393EAC8064F7}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6E8BF012-2C85-4834-B10A-1B31AF173D70}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{483830EE-A4CD-4B71-B0A3-3D82E62A6909}
Clé Supprimée : HKCU\Software\BabSolution
Clé Supprimée : HKCU\Software\BabylonToolbar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\DataMngr
[#] Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\SmartBar
Clé Supprimée : HKCU\Software\Tuto4PC
Clé Supprimée : HKCU\Software\Tutorials
Clé Supprimée : HKLM\Software\BabylonToolbar
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\Software\Tutorials
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar

***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.6001.18702


-\\ Mozilla Firefox v23.0.1 (fr)

*************************

AdwCleaner[R0].txt - [5420 octets] - [13/09/2013 15:34:05]
AdwCleaner[R1].txt - [4263 octets] - [13/09/2013 15:53:11]
AdwCleaner[S0].txt - [3886 octets] - [13/09/2013 15:34:59]
AdwCleaner[S1].txt - [4240 octets] - [13/09/2013 15:53:58]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [4300 octets] ##########

[Malekal_morte]

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>

[jluc18]

Re,
Un peu long car j'ai aussi pris un peu plus de temps pour lire tous les renvois des plus inintéressants
J'ai Avast comme anti virus et rien ne m'a indiqué une analyse de avast dans la sandbox ou une information quelconque .J'espère que j'ai bien fait .
Ci joint les deux liens pour OTL.txt et Extra.txt

http://pjjoint.malekal.com/files.php?re ... 5k12v14s12

http://pjjoint.malekal.com/files.php?re ... z9p9l12w12

[Malekal_morte]

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:


:OTL
[2013/09/18 14:49:27 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Jean - Luc.PERSO-04201E5C0\Application Data\Mozilla\Firefox\Profiles\t0tocu6t.default\extensions
[2013/05/25 12:10:59 | 000,000,000 | ---D | M] (uTorrentBar_FR) -- C:\Documents and Settings\Jean - Luc.PERSO-04201E5C0\Application Data\Mozilla\Firefox\Profiles\t0tocu6t.default\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
[2013/09/13 15:44:59 | 000,000,000 | ---D | M] (Babylon Toolbar) -- C:\Documents and Settings\Jean - Luc.PERSO-04201E5C0\Application Data\Mozilla\Firefox\Profiles\t0tocu6t.default\extensions\[email protected]
O4 - HKLM..\Run: [tuto4pc_fr_53] File not found
O4 - HKLM..\Run: [upt4pc_fr_53.exe] C:\Documents and Settings\Jean - Luc.PERSO-04201E5C0\Local Settings\Application Data\tuto4pc_fr_53\upt4pc_fr_53.exe ()
[2013/09/13 15:44:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Jean - Luc.PERSO-04201E5C0\Menu Démarrer\Programmes\BitGuard
[2013/08/23 09:29:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Jean - Luc.PERSO-04201E5C0\Application Data\WinZipper
:files
C:\Documents and Settings\Jean - Luc.PERSO-04201E5C0\Local Settings\Temp\is-QH8H5.tmp\m


* poste le rapport ici

[jluc18]

J'ai relancé OTC en ayant collé le txt
J'ai cliqué sur correction
Renvoi d'info :" le système doit redémarrer pour finir le nettoyage des fichiers" . Mais pas de rapport
J'ai cliqué sur OK, toujours bloqué par tuto4pc le PC ne veut pas s’éteindre .
De plus je n'ai pas compris " Par içi " l'endroit où j'aurai dû mettre ce rapport

[Malekal_morte]

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.


Fais une recherche de fichiers sur tuto4pc
Supprime tout.

[jluc18]

Bonjour,
Hier soir, comme d'habitude j'ai du arrêter sauvagement UC en coupant l'alimentation.
Ce matin j'ai démarré la twr , Windows s’installe avec les autres logiciels et miracle: plus de tuto4pc . Je peux enfin éteindre l'ordi. correctement. J'ai fais des essais. Je prends connaissance de ta réponse . Je fais une recherche sur tuto4pc et je supprime 2 ou 3 éléments dont 1 dans OTL.
Pendant ce temps Avast tourne et me met une alarme " ROOTKIT trouvé : info InCdsrv > :C\... Win 32: evo-gen" il me demande de supprimer OK . " Pour terminer le processus de nettoyage effectuez un scan au démarrage " . J'effectue ce scan avant l'installation de Windows. Je n'ai pu trouver le rapport d'analyse dans Avast : fichier aswboot.txt . Donc je recommence un nouveau scan après installation de XP et des logiciels. Toujours pareil ROOTKIT Win32:Evo-gen
Je ne sais si tout cela est lié, de plus comme avant quand je clique sur nouvel onglet, j'ai encore l'ouverture d'une page de recherche avec : "search.babylon.com/?babsrc=NT_ss&mntrId=94C90024210BFD05&affID=121828&tsp=5004" et des connexions automatiques sur des sites de jeux. C'est frustrant après toutes les manips effectuées