Se connecter / S'enregistrer
Votre question
Résolu

Win32 Agent qvo

Tags :
  • Chrome
  • Logiciels
  • Adware
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Juillet 2014 15:30:10

Bonjour,

Depuis plusieurs jours je me bats pour venir à bout d'un virus (ou autre), qui a pour nom "Win32.Agent.qvo"

Mon PC (HP8100 XP pro Service Pack3) est protégé par Norton Antivirus, par Malwarebytes' Anti-Malware pour les malwares, par Spybot - Search & Destroy pour les spywares, mis à jour pratiquement tous les jours, et j'utilise CCleaner chaque semaine pour nettoyer ....

Chrome est mon navigateur

Spybot le détecte, mais, même supprimé, il revient systématiquement.

Pourriez-vous m'aider à régler ce problème ?

Merci par avance pour votre aide ...

Autres pages sur : win32 agent qvo

a c 940 8 Sécurité
a c 139 Ē Google Chrome
a b 6 Logiciels
29 Juillet 2014 15:43:11

Bonjour,


Ce sont des adwares/hijackers qui se sont installés avec ton consentement, en manquant de vigilance lors de l'installation d'applications sponsorisées, tu n'as pas décoché les sponsors proposés.

Commence par désinstaller Spybot - Search & Destroy, outil obsolète et inutile, la preuve, il ne peut rien contre un simple adware.

Nous allons commencer par établir un rapport de diagnostic pour cibler les éléments néfastes avec cet outil :

---------------------------------------------------------------------------------------------

FRST :

  • Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important

    Pour un système en 32 bits -> FRST
    Pour un système en 64 bits -> FRST64
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

    Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
    Rappel : FRST doit être enregistré sur ton Bureau <-- Important

  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports FRST.txt et Addition.txt

    Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation

    @+
    m
    0
    l
    Contenus similaires
    a c 940 8 Sécurité
    a c 139 Ē Google Chrome
    a b 6 Logiciels
    29 Juillet 2014 18:29:17

    Re,


    Tu as vu la Notification de fin de service de Microsoft Windows XP ?
    En effet, le support pour Windows XP a pris fin depuis le 08 avril 2014.
    Cela veut dire que, depuis cette date, ce système d'exploitation n'est plus suivi par Microsoft, qu'il n'y a plus de mises à jour, ni de sécurité, ni autres, et que Windows XP va devenir très rapidement vulnérable, les failles vont être exploitées, une cible de choix pour les "malwares" en tout genre.

    De plus, certains outils de désinfection performants ne seront plus mis à jour pour XP et une désinfection deviendra problématique.

    Il faut envisager de mettre à niveau ton système vers un Windows plus récent, ou migrer vers une distribution libre GNU/Linux.

    Fin du support de Windows XP, quelles alternatives ?

    --------------------------------------------------------------------------------------------

    Cette détection "Win32.Agent.qvo" se fait sur quel fichier ?
    Tu peux m'indiquer sa localisation ?


    --------------------------------------------------------------------------------------------

    FRST - Correctif :

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      Toolbar: HKCU - No Name - {71576546-354D-41C9-AAE8-31F2EC22BF0D} - No File
      CHR HKLM\SOFTWARE\Policies\Google: Policy restriction
      AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:7B025EF9
      AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:9273744E
      AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:C9FBD796
      Hosts:
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    AdwCleaner - Scanner :

    • Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
      Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Scanner
    • Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
    • Un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(R).txt


  • Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

    Tutoriel d'utilisation AdwCleaner en images

    --------------------------------------------------------------------------------------------------------------

    Sont attendus les rapports
    Fixlog
    AdwCleaner-Scanner


    @+
    m
    0
    l
    29 Juillet 2014 18:53:30

    Re,

    Je réponds tout de suite à la question du fichier sur lequel se fait la détection, il s'agit d'une clé du registre, j'en ai fait une copie d'écran, que voici :

    http://up.security-x.fr/file.php?h=Rc2b88ee915c8caf0ba6...

    Je m'occupe du correctif proposé et de Adwcleaner

    A plus
    m
    0
    l
    a c 940 8 Sécurité
    a c 139 Ē Google Chrome
    a b 6 Logiciels
    29 Juillet 2014 19:34:33

    Re,

    --------------------------------------------------------------------------------------------------------------

    AdwCleaner - Nettoyer :

    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique sur Scanner
    • Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
    • Patiente le temps de l'analyse et valide le message d'informations
    • Un redémarrage est demandé, valider par OK
    • Au redémarrage, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(S).txt


  • Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

    Tutoriel d'utilisation AdwCleaner en images

    En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

    --------------------------------------------------------------------------------------------------------------

    Ensuite, nous allons appliquer un 2nd correctif avec FRST :

    FRST - Correctif :

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      Reg: reg delete "HKLM\SYSTEM\ControlSet001\services\eventlog\Application\Wpm" /f
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    Sont attendus les rapports
    AdwCleaner-Nettoyer
    nouveau Fixlog


    Comment se comporte le système maintenant par rapport aux symptômes signalés au début ?

    @+
    m
    0
    l
    a c 940 8 Sécurité
    a c 139 Ē Google Chrome
    a b 6 Logiciels
    29 Juillet 2014 20:37:48

    Re,

    OK pour les rapports.

    Comment se comporte le système maintenant par rapport aux symptômes signalés au début ?

    @+
    m
    0
    l
    29 Juillet 2014 20:50:48

    Re,

    Après les mesures prises, j'ai arrêté le PC, je l'ai fait redémarrer, et, malheureusement, la clé du registre

    "HKLM\SYSTEM\ControlSet001\services\eventlog\Application\Wpm"

    est à nouveau là, je l'ai vérifié en déroulant le registre, et ensuite avec Spybot qui l'a à nouveau détecté ....

    J'ai recommencé avec Adwcleaner, il ne trouve rien, tout est normal ...

    Je désespère un peu ...

    A plus ...
    m
    0
    l
    a c 940 8 Sécurité
    a c 139 Ē Google Chrome
    a b 6 Logiciels
    29 Juillet 2014 21:05:47

    Re,

    Je t'ai demandé de désinstaller Spybot qui est inutile et qui interfère dans la procédure.
    Pourquoi ne pas l'avoir fait ?


    Désinstalle Spybot.

    Ensuite nous allons faire une recherche ciblée.

    ---------------------------------------------------------------------------------------------

    SystemLook :

    • Télécharge SystemLook de jpshortstuff et enregistre-le sur ton Bureau
    • Double-clique sur SystemLook.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie-colle dans le cadre principal :

      :regfind
      Wpm

      :folderfind
      Wpm

      :filefind
      Wpm



    • Clique sur Look et patiente le temps de la recherche
    • Clique sur Exit pour refermer l'outil
    • Poste le rapport SystemLook.txt qui s'affiche dans ta prochaine réponse
      Le rapport SystemLook.txt est enregistré sur le Bureau.


  • ---------------------------------------------------------------------------------------------

    Est attendu le rapport SystemLook

    @+
    m
    0
    l
    29 Juillet 2014 21:44:59

    Re,

    Spybot désinstallé, je m'occupe de SystemLook
    m
    0
    l
    a c 940 8 Sécurité
    a c 139 Ē Google Chrome
    a b 6 Logiciels
    30 Juillet 2014 08:01:53

    Bonjour,

    Un autre correctif à appliquer :

    FRST - Correctif :

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      Reg: reg delete "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\eventlog\Application\Wpm" /f
      Reg: reg delete "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\services\eventlog\Application\Wpm" /f
      Reg: reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\Wpm" /f
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    Est attendu le rapport Fixlog

    @+
    m
    0
    l
    a c 940 8 Sécurité
    a c 139 Ē Google Chrome
    a b 6 Logiciels
    30 Juillet 2014 10:16:41

    Re,

    OK pour le rapport.

    Comment se comporte le système maintenant ?

    @+
    m
    0
    l
    30 Juillet 2014 10:56:13

    Re,

    J'ai arrêté mon PC, et après un nouveau démarrage, je constate avec plaisir que le registre à l'endroit suivant :

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application

    n'a plus le \Wpm qui contenait cette "saleté" de Win32.Agent.qvo ....

    J'espère en être débarrassé de façon définitive, car à force de réfléchir, il me semblait que lorsque Win32.Agent se lançait, il devait copier aussi quelque part sur le PC, son identité sous un nom aléatoire et caché, et qu'il exécutait à chaque fois que Windows démarrait ..., il fallait trouver cet endroit caché !!!

    En tous cas, un grand merci pour votre disponibilité et pour tout ce que vous faites pour nous, pauvres utilisateurs informatiques pas suffisamment compétents ..., je vous transmets toute ma gratitude.

    Vincent

    NB : y a-t-il des mesures à prendre pour éviter ce genre de problèmes ?
    puis-je supprimer ce qui a été créé sur le Bureau , (Fixlog, FRST etc etc ) ?
    m
    0
    l
    a c 940 8 Sécurité
    a c 139 Ē Google Chrome
    a b 6 Logiciels
    30 Juillet 2014 11:30:35

    Re,

    C'est parfait, nous pouvons donc finaliser la procédure.

    As-tu bien lu la note sur XP qui est devenu un système d'exploitation obsolète non sécurisé ?
    Il faut envisager de migrer vers un Windows plus récent ou vers une distribution libre.

    ---------------------------------------------------------------------------------------------

    TFC - Nettoyage des fichiers temporaires :

    • Télécharge TFC de OldTimer et enregistre-le sur ton Bureau
    • Ferme toutes les applications en cours
    • Double-clique sur TFC.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Start pour lancer l'analyse et patiente (le scan de suppression peut durer jusqu'à 1 ou 2 mn)
    • Valide par Yes à la demande de redémarrage. Si le système ne redémarre pas, fais-le manuellement. Cette étape est impérative pour finaliser le nettoyage


  • ---------------------------------------------------------------------------------------------

    DelFix :

    • Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône Delfix.exe pour lancer l'outil
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, coche uniquement les options
      - Supprimer les outils de désinfection
      - Purger la restauration système

    • Clique ensuite sur Exécuter et laisse l'outil travailler

    • Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\DelFix.txt


  • ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :

    • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.

      /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

      /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

      /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
      Installation d'une application sponsorisée, les pièges à éviter !

      /!\ Sauvegarder régulièrement les données personnelles sur un support externe

      /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu



    • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


    • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
      Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
      Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
      Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
      SX Check&Update - Vérifier et mettre à jour facilement les logiciels à risque ou son système


    • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation


      /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
      Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.

    @+
    m
    0
    l
    30 Juillet 2014 12:09:05

    Re,

    TFC s'est déroulé sans problèmes, par contre, l'exécution de DelFix a été stoppée par Norton, qui a supprimé le programme, avec le motif suivant :

    "SONAR.Heuristic.120"

    Que faire ?
    m
    0
    l
    a c 940 8 Sécurité
    a c 139 Ē Google Chrome
    a b 6 Logiciels
    30 Juillet 2014 14:21:33

    Re,

    Delfix est un outil sûr, tu peux l'utiliser.

    Désactive Norton le temps de télécharger et exécuter Delfix.

    @+
    m
    0
    l

    Meilleure solution

    a c 940 8 Sécurité
    a c 139 Ē Google Chrome
    a b 6 Logiciels
    30 Juillet 2014 15:30:02

    Re,

    OK pour le rapport Delfix.

    Bonne continuation :) 
    partage
    30 Juillet 2014 15:53:23

    Re,

    Encore un grand merci pour votre aide si précieuse ...

    Vincent
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS