Infection EoRezoRésolu/Fermé

Question

Bonjour, mon ordinateur est infecté par EoRezo. Il me met des pubs sans arrêt et ma page d'acceuil deviens Lost. J'ai fait scanner mon ordi par Ad-Remover et voici le rapport, merci d'avance :

======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 11:31:55 le 19/09/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Michel LALOGE@ML-NOMADE ( ) 
 
============== RECHERCHE ==============


0,Dossier trouvé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Fichier trouvé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
0,Dossier trouvé: C:\Program Files\Ask.com
0,Dossier trouvé: C:\Documents and Settings\Michel LALOGE\Local Settings\Application Data\AskToolbar
0,Dossier trouvé: C:\Documents and Settings\Michel LALOGE\Application Data\Soft2PC
0,Dossier trouvé: C:\Documents and Settings\Michel LALOGE\Local Settings\Application Data\Soft2PC
0,Dossier trouvé: C:\Program Files\Soft2PC
3,Fichier trouvé: C:\WINDOWS\Installer\309ff.msi   

-- Fichier ouvert: C:\Documents and Settings\Michel LALOGE\Application Data\Mozilla\FireFox\Profiles\81hc9x3k.default\Prefs.js --
Ligne trouvée: user_pref("browser.startup.homepage", "hxxp://y.lo.st"); 
-- Fichier Fermé --
 

1,Clé trouvée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé trouvée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé trouvée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé trouvée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé trouvée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Clé trouvée: HKLM\Software\Classes\Interface\{CC883F50-95BB-4A25-9DBF-B801506F1BC4}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{B52F3553-49FA-4599-81A4-F98951E0B53B}
0,Clé trouvée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé trouvée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé trouvée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO
0,Clé trouvée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO.1
0,Clé trouvée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé trouvée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé trouvée: HKLM\Software\Classes\AppID\Soft2PCBHO.DLL
1,Clé trouvée: HKLM\Software\Classes\AppID\{AB67D16D-3824-4683-B81A-D66DBA61B1AF}
0,Clé trouvée: HKLM\Software\soft2PC
0,Clé trouvée: HKCU\Software\Ask.com
0,Clé trouvée: HKCU\Software\AskToolbar
0,Clé trouvée: HKCU\Software\soft2PC
0,Clé trouvée: HKCU\Software\AppDataLow\AskToolbarInfo
0,Clé trouvée: HKU\.DEFAULT\Software\AskToolbar
0,Clé trouvée: HKU\S-1-5-18\Software\AskToolbar
3,Clé trouvée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
3,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
3,Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Soft2PC_is1
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Software_is1
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Soft2PC_is1

0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|helper
0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|soft2PC
0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
0,Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.10 (fr)] **

-- C:\Documents and Settings\Michel LALOGE\Application Data\Mozilla\FireFox\Profiles\81hc9x3k.default\Prefs.js --
browser.startup.homepage, hxxp://y.lo.st
browser.startup.homepage_override.mstone, rv:1.9.2.10

========================================

** Internet Explorer Version [7.0.5730.11] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Do404Search: 0x01000000
Enable Browser Extensions: yes
First Home Page: hxxp://y.lo.st
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://us.rd.yahoo.com/customize/ycomp/defaults/sb/*hxxp://www.yahoo.com/search/ie.html
Search Page: hxxp://us.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://www.yahoo.com
Show_ToolBar: yes
Start Page: hxxp://y.lo.st
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 19/09/2010 (1243 Octet(s)) 

Fin à: 11:35:56, 19/09/2010 
 
============== E.O.F ============== 





Configuration: Windows XP / Firefox 3.6.10

Utilisateur anonyme · Accepted Answer

Salut 
 

* Bienvenue sur CCM !
* N'ouvre pas d'autres sujets pour le même problème >>  sur ce forum ou sur un autre  
* Ensemble nous allons essayer de régler ton problème .




1) /!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

*  Double-clique sur l'icône Ad-remover située sur ton Bureau. 
* Sur la page, clique sur le bouton « Nettoyer » 
* Confirme l'opération 
*  Poste le rapport qui apparaît à la fin. 
* (Le rapport est sauvegardé aussi sous C:\Ad-report.) 
* (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 


ensuite

2) *  Télécharge ZHPDiag  (de Nicolas coolman)

*   ZHPDiag est un outil de diagnostic (Réalisé par Nicolas Coolman) . 
Le logiciel permet d'effectuer un diagnostic rapide et complet de son système d'exploitation plus complet qu un rapport d'HijackThis 
Il scrute ta Base de Registre et énumère les zones sensibles qui sont susceptibles d'être infectées. 

  ICI   >> ZHPDiag  (de Nicolas coolman)

*  Une fois le téléchargement achevé, 
* double clique sur ZHPDiag.exe et suis les instructions.
*  /!\Utilisateurs de Windows Vista et Windows 7 
*  >> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 
*  Laisse toi guider lors de l'installation, 
*  coche >> créer une icône sur le bureau
*  il se lancera automatiquement à la fin.    
*   Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)   
*  Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette   
*   Héberge le rapport sur ce site,   
 >> Cijoint.fr  
*  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  


* Pour t aider ,pour heberger le rapport   
*  rends toi sur Cijoint.fr      
*  clic sur Parcourir      
*  trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau      
*  et valide en cliquant sur >> Cliquez ici pour déposer le Fichier     
*  un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,       
*  il te suffit de le poster ici  pour que je puisse voir le rapport

HugL · Answer

D'abord, merci. J'ai tout bien fait et voila le diagnostique de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201009/cijA2bjQqf.txt

Utilisateur anonyme · Answer

Re

en attendant poste le rapport >> C:\Ad-Report-CLEAN[1].txt   

cliques >> Démarrer >> Ordinateur >> Disque >> C:\Ad-Report-CLEAN[1].txt  


@+

HugL · Answer

Voici le rapport du nettoyage : http://www.cijoint.fr/cjlink.php?file=cj201009/cijZQOFR5f.txt

Utilisateur anonyme · Answer

Re  

ok fais ce qui suit et lis bien et dans l ordre 
Et surtout poste tous les rapports demandés 


1) *  Desactive ton antivirus le temps de la manip  

* Telecharge et install UsbFix (de El Desaparecido et C_XX ) 

* UsbFix est un programme spécifique , son rôle est la suppression d'infection se propageant via les supports amovibles 
* Il rétablit certaines fonctions de sécurité endommagées, comme l'accès au registre, au gestionnaire des tâches, à l'affichage des fichiers cachés etc . 

>> UsbFix (de El Desaparecido et C_XX ) 

*   Déconnectes toi et fermes toutes applications en cours 
*   Au message ==> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir 
*   Double clic sur le raccourci UsbFix présent sur ton bureau . 
*   Choisi >> l option >>   Suppression  
*   Laisse travailler l outil. 
*   Ensuite poste le rapport UsbFix.txt qui apparaitra. 
*   Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


*  Réactive  ton antivirus 


ensuite 


2) *Télécharges  Malwarebytes' (mbam)     

*  Logiciel de désinfection généraliste , il peut détecter et supprimer les logiciels malveillants  . 

   ICI  >> Malwarebytes' (mbam)     

* installes  + mise a jour     
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir   
* Lances--> Malwarebytes (MBAM)     
* Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet     
* puis "Rechercher"     
*  Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"     
*  A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport     
*Si MalwareBytes'  détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection     
* S'il t' es demandé de redémarrer, clique sur "oui "     
*  aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici     
!!! Ne pas vider la quarantaine de MBAM sans avis !!!    
* Un  tutoriel est à ta disposition sur ce site  
    Tutoriel MalwareBytes    



en dernier 

   ========> ZHPFix <======== 


* ferme toutes les applications ouvertes. 
* Copies  tout le texte présent en gras dans l'encadré ci-dessous   
*( tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


  
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified      
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified      
O2 - BHO: (no name) - ¨¿¨¿3-9E5A-11D3-A288-0000E80E2EDE} . (.Pas de propriétaire - Pas de description.) -- (.not file.)  
O2 - BHO: (no name) - °A¿38D8D-E480-4D52-B7A2-731BB6995FDD} . (.Pas de propriétaire - Pas de description.) -- (.not file.)  
O2 - BHO: (no name) - €A¿497BB-D6F0-462C-B6EB-D4DAF1D92D43} . (.Pas de propriétaire - Pas de description.) -- (.not file.)  
O64 - Services: CurCS - (.not file.) - NDISRD (NDISRD)  .(.Pas de propriétaire - Pas de description.) - LEGACY_NDISRD      
MBRFix       

  


* Double Clique sur l'icone ZhpFix du bureau pour le lancer . 
* Windows7/Vista >> Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"   
* Une fois l'outil ZHPFix ouvert ,    

* clique sur le bouton [ H ]  ==>  Image ( "coller les lignes Helper" ) .   

* Dans l'encadré principal    
* tu verras donc les lignes que tu as copié précédemment apparaitre  .   
* Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.    
* cliques >> OK puis  
* Cliques sur >>Tous  
* Pour finir clique sur >> Nettoyer .   
* colle le rapport obtenu .    
( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )    



en tout dernier  



4) poste un nouveau ZHPDiag  




             
                 
            Membre Contributeur sécurité CCM 
            Windows Vista // Windows XP

HugL · Answer

Merci beaucoup. Je , n'avais déjà plus de pub à l'étape du "Nettoyer" de Ad-Remover. Voiçi le résultat : http://www.cijoint.fr/cjlink.php?file=cj201009/cijYOaIsHm.txt

Infection EoRezo

6 réponses

Discussions similaires

Newsletters