[Résolu] Virus V9 Portal Site [2]

[Digger]

Bonjour,

 

J'ai eu le même problème avec QV6 il y a quelques temps.

Comment ces trucs s'installent-ils?

J'ai anti-addware et ghostery. rien n'y fait, hier soir, je trouve V9 sur ma page d'accueil...

En plus de me pomper l'air le type qui a pondu ça se fout de ma poire puisqu'il me propose un protocole de désinstallation fantôme...

Comment éviter cela?

 

Merci de vos réponses.

 

___________________ EDIT ______________________

 

Message désimbriqué du sujet d'origine pour en faire un sujet personnalisé et à part entière : http://forum.zebulon.fr/virus-v9-portal-site-1-t201389.html?do=findComment&comment=1675265.

Tonton

Modifié le 1 juin 2013 par Tonton
Désimbrication message du sujet d'origine

[bernard53]

Bonjour

 

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

 

http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner

 

 

 

- Lances le en mode normal , puis cliques sur [suppression]

- Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche , cliquez sur [OK]

 

- L'ordinateur va redémarrer tout seul. Redémarre-le en mode normal.

- AdwCleaner s'ouvrira normalement, avec comme seul choix possible [suppression]

 

- Cliquez dessus, puis patientes pendant la suppression.

- Une fois la suppression effectuée, AdwCleaner vous invitera à redémarrer l'ordinateur

 

- Au redémarrage, un rapport s'ouvrira. Postes le sur le forum.

 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[s1].txt

Ensuite:

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

 

ET :

 

Si le bouton UAC apparaît dans le panel supérieur cela signifie que votre UAC est activée. L'activation de l'UAC gène l'analyse deZHPDiag sur certains modules (O18,O23,O42,...).

Aussi pour permettre un scan complet de l'outil, vous devez au préalable cliquer sur ce bouton.

Ce qui aura pour conséquence de relancer ZHPDiag avec une désactivation temporaire de l'UAC.

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur "Lancer le diagnostic " (image de la loupe) et patiente...

 

A la fin du scan le rapport est sauvegardé directement sur ton bureau.

ZHPDiag.txt

 

Mets le rapport ici car il prend bien de la place.

http://cjoint.com/

ou.

http://www.1fichier.com/

Modifié le 1 juin 2013 par bernard53

[Digger]

Bonjour,

 

Toutes mes excuses, j'étais absent ce weekend...

Voici les rapports :

 

# AdwCleaner v2.301 - Rapport créé le 03/06/2013 à 07:50:12

# Mis à jour le 16/05/2013 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : Thomas - TOM

# Mode de démarrage : Normal

# Exécuté depuis : C:\Documents and Settings\Thomas\Mes documents\Téléchargements\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

Arrêté & Supprimé : eSafeSvc

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\eSafe

Dossier Supprimé : C:\Documents and Settings\Thomas\Application Data\DealPly

Dossier Supprimé : C:\Documents and Settings\Thomas\Application Data\eIntaller

Dossier Supprimé : C:\Documents and Settings\Thomas\Application Data\Mozilla\Firefox\Profiles\8swi1agl.default-1370077015359\extensions\staged

Fichier Désinfecté : C:\Documents and Settings\Thomas\Menu Démarrer\Programmes\Accessoires\Outils système\Internet Explorer (sans module complémentaire).lnk

Fichier Désinfecté : C:\Documents and Settings\Thomas\Menu Démarrer\Programmes\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

Fichier Supprimé : C:\Program Files\Mozilla FireFox\searchplugins\qvo6.xml

Fichier Supprimé : C:\Program Files\Mozilla firefox\searchplugins\v9.xml

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DealPly

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\DealPly

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\DefaultTabBHO.DLL

Clé Supprimée : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowser

Clé Supprimée : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowser.1

Clé Supprimée : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowserActiveX

Clé Supprimée : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowserActiveX.1

Clé Supprimée : HKLM\Software\eSafeSecControl

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DealPly

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\eSafeSecControl

Clé Supprimée : HKLM\Software\qvo6Software

Donnée Supprimée : HKLM\...\StartMenuInternet\IEXPLORE.EXE [(Default)] = C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.qvo6.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=SAMSUNGXHM060HI_S0BNJ10LB15365B15365X&ts=1367835752

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.qvo6.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=SAMSUNGXHM060HI_S0BNJ10LB15365B15365X&ts=1367835752 --> hxxp://www.google.com

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://www.qvo6.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=SAMSUNGXHM060HI_S0BNJ10LB15365B15365X&ts=1367835752 --> hxxp://www.google.com

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - CustomizeSearch] = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=amt&from=amt&uid=SAMSUNGXHM060HI_S0BNJ10LB15365B15365X&ts=0 --> hxxp://www.google.com

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=SAMSUNGXHM060HI_S0BNJ10LB15365B15365X&ts=0 --> hxxp://www.google.com

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - CustomizeSearch] = hxxp://search.qvo6.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=SAMSUNGXHM060HI_S0BNJ10LB15365B15365X&ts=0 --> hxxp://www.google.com

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://www.qvo6.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=SAMSUNGXHM060HI_S0BNJ10LB15365B15365X&ts=1367835752 --> hxxp://www.google.com

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.qvo6.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=SAMSUNGXHM060HI_S0BNJ10LB15365B15365X&ts=1367835752 --> hxxp://www.google.com

 

-\\ Mozilla Firefox v21.0 (fr)

 

Fichier : C:\Documents and Settings\Thomas\Application Data\Mozilla\Firefox\Profiles\8swi1agl.default-1370077015359\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

Fichier : C:\Documents and Settings\Invite\Application Data\Mozilla\Firefox\Profiles\fbt59p4j.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [40880 octets] - [10/01/2013 23:22:35]

AdwCleaner[R2].txt - [1660 octets] - [12/01/2013 11:55:53]

AdwCleaner[R3].txt - [6198 octets] - [30/03/2013 23:36:27]

AdwCleaner[R4].txt - [5910 octets] - [03/06/2013 07:49:29]

AdwCleaner[s1].txt - [39927 octets] - [10/01/2013 23:23:53]

AdwCleaner[s2].txt - [1460 octets] - [10/01/2013 23:30:30]

AdwCleaner[s3].txt - [1723 octets] - [12/01/2013 11:56:17]

AdwCleaner[s4].txt - [6125 octets] - [30/03/2013 23:50:57]

AdwCleaner[s5].txt - [5196 octets] - [03/06/2013 07:50:12]

 

########## EOF - C:\AdwCleaner[s5].txt - [5256 octets] ##########

 

 

et le ZHPdiag

 

© CJoint.com, 2012

 

Merci et bonne matinée.

[bernard53]

Ceci s.t.p

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

O1 - Hosts: 74.208.10.249 gs.apple.com => Infection Hosts (Hosts.Redirection)↓

[HKLM\Software\V9Software] => PUP.V9Software

O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files\Mozilla Firefox\firefox.exe V9 Portal Site – My Homepage – The best and most complete navigation site of the US! => Infection PUP (PUP.V9Software)*

[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\eSafeSvc] =>PUP.eSafeSecurity

[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\uTorrentBar_FR Toolbar] =>Toolbar.Conduit

FirewallRaz

EmptyFlash

Emptytemp

SysRestore

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

[Digger]

Bonsoir,

 

voici le nouveau rapport:

 

Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013

Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-03-06-2013-19-57-13.txt

Run by Thomas at 03/06/2013 19:57:12

High Elevated Privileges : OK

Windows XP Professional Service Pack 3 (Build 2600)

 

Corbeille vidée

 

========== Clé(s) du Registre ==========

SUPPRIME Key: HKLM\Software\V9Software

SUPPRIME Key: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\eSafeSvc

SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\uTorrentBar_FR Toolbar

 

========== Valeur(s) du Registre ==========

ABSENT Valeur Domain Profile: FirewallRaz :

Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

 

========== Elément(s) de donnée du Registre ==========

SUPPRIME StartMenuInternet: C:\Program Files\Mozilla Firefox\firefox.exe V9 Portal Site – My Homepage – The best and most complete navigation site of the US!

 

========== Dossier(s) ==========

SUPPRIME Flash Cookies

SUPPRIME Temporaires Windows

 

========== Fichier(s) ==========

SUPPRIME Flash Cookies

SUPPRIME Temporaires Windows

 

========== Fichier HOSTS ==========

Le fichier Hosts n'est pas réparé, veuillez désactiver votre antivirus.

 

========== Restauration Système ==========

Point de restauration du système créé avec succès

 

 

========== Récapitulatif ==========

3 : Clé(s) du Registre

2 : Valeur(s) du Registre

1 : Elément(s) de donnée du Registre

2 : Dossier(s)

2 : Fichier(s)

1 : Fichier HOSTS

1 : Restauration Système

 

 

End of clean in 00mn 14s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 31/03/2013 18:18:51 [5144]

C:\ZHP\ZHPFix[R2].txt - 12/01/2013 10:26:48 [6117]

C:\ZHP\ZHPFix[R3].txt - 31/03/2013 10:27:23 [5932]

C:\ZHP\ZHPFix[R4].txt - 31/03/2013 12:32:35 [571]

C:\ZHP\ZHPFix[R5].txt - 31/03/2013 12:35:31 [3944]

C:\ZHP\ZHPFix[R6].txt - 06/04/2013 17:57:23 [2017]

C:\ZHP\ZHPFix[R7].txt - 06/04/2013 17:58:56 [2064]

C:\ZHP\ZHPFix[R8].txt - 03/06/2013 19:57:13 [1949]

[bernard53]

Ok comment va ton pc cette fois?

[Digger]

Merci de ton attention.

Je viens de relancer Firefox et V9 est toujours présent...

Une idée?

 

Merci

 

En fait j'ai désinstallé et ré-installé Firefox et voilà...

Suite à ton traitement, je retoruve mon Mozilla tout propre!

Merci

Modifié le 3 juin 2013 par Digger

[bernard53]

ok si tout va valide ton post en résolu s.t.p.

http://forum.zebulon.fr/comment-afficher-son-sujet-comme-resolu-t180253.html

 

Bonne fin journée