ATTENTION SITE MALVEILLANTRésolu/Fermé

Question

Bonjour,

ATTENTION A TOUS;
N'ouvrez surtout pas un site eorezo qui amène le site lo.st qui squate la  page d'accueil du PC et dont on a beaucoup de mal à se débarrasser. 

Entre temps un site TRES malveillant s'est introduit, je ne sais comment, il porte le numéro 09021030408721 
Il pollue tout accès à internet, met des mouchards et vous manipule.

Si vous avez ce genre de fenêtre indiquant que vous avez télécharger ce film : "horse_ fucking_ girl" (cheval baisant une fille)
SURTOUT ne l'ouvrez pas.

Cela fait plusieurs jours que je me bas avec cette HORREUR!
Ce site se substitut à tout moteur de recherche et peut piller vos infos persos.

Si quelqun a eu ce genre de malveillance, veuillez me donner la solution pour s'en débarrasser.

HELP!!!
GRAND MERCI.

Destrio5 · Accepted Answer

Ok mais ce topic va être fermé car aucune aide ne peut être apportée pour un Windows illégal :
http://www.commentcamarche.net/faq/sujet 2981 j utilise une version piratee de windows

Bonne nuit ;)

Destrio5 · Answer

Salut,

- Télécharge HijackThis v2.0.2 sur ton Bureau.

- Double-clique sur HJTInstall afin de lancer l'installation.

- Clique sur Install ensuite sur I Accept.

- Clique sur Do a system scan and save a logfile.

- Le bloc-notes s'ouvrira, fais un copier/coller de tout son contenu ici dans ton prochain message.

Annhydrium · Answer

couep internet et formate... merci de l'info (si tenté qu'elle soit vraie)

Destrio5 · Answer

Tu veux que je t'aide ou non ?

smirha · Answer

Oui, Merci,

Je suis désolée j'ai été coupé.

Ile est encore là il est bloqué par mon pare-feu mais on me signale sa présence.

Destrio5 · Answer

CCleaner ne sert pas à retirer les virus.

Destrio5 · Answer

Pas reçu.

Destrio5 · Answer

Je l'ai reçu.

---> Désinstalle EoEngine.

&#9679; Télécharge AD-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

/!\ Déconnecte-toi et ferme toutes applications en cours /!\

&#9679; Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program files).
&#9679; Double-clique sur l'icône Ad-remover située sur ton Bureau.
&#9679; Au menu principal, choisis l'option "A".
&#9679; Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note :

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Destrio5 · Answer

Tu n'as pas fait le scan AD-Remover ?

Destrio5 · Answer

Ah oui, par mail.

/!\ Déconnecte-toi et ferme toutes applications en cours /!\

&#9679; Double-clique sur AD-Remover pour le lancer : au menu principal, choisis l'option B.

&#9679; Coche à l'écran de sélection :
http://sd-1.archive-host.com/membres/up/16506160323759868/Capturer-ADR.JPG

Suppression Boonty/BoontyGames (Si trouvé)
Suppression Eorezo (Si trouvé)
Suppression Everest Poker (Si trouvé)
Suppression Funwebproduct/MyWay/MyWebsearch (Si trouvé)
Suppression Messenger Skinner (Si trouvé)
Suppression Sweetim (Si trouvé)
Suppression It's TV (Si trouvé)

&#9679; Puis choisis S, le programme va travailler.

&#9679; Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report.log)

/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide) /!\

Destrio5 · Answer

Tu me dis quand tu m'envoies le rapport.

Destrio5 · Answer

Coche EoRezo et It's TV avant de choisir S.

Destrio5 · Answer

Et si tu choisis 2 puis Entrée, puis 5 puis Entrée, puis S puis Entrée ?

Destrio5 · Answer

---> Désinstalle AD-Remover.

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

Destrio5 · Answer

Poste les rapports ici maintenant, pas par mail ;)

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Choisis l'option 1 (Nettoyage).

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

Destrio5 · Answer

"Veux-tu dire que je branche un disque externe dont je n'ouvre pas les fichiers, je le laisse juste brancher comme ça sans rien y faire ?"
---> Exact.

Il n'y aura pas de perte de données.

Destrio5 · Answer

Tu vas faire quelque chose avant alors.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

smirha · Answer

Voilà le rapport 5 Malwrebytes :

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1551
Windows 5.1.2600 Service Pack 2

26/12/2008 19:40:07
mbam-log-2008-12-26 (19-40-07).txt

Type de recherche: Examen rapide
Eléments examinés: 46159
Temps écoulé: 6 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\hozr.dll (Trojan.FakeAlert) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\jnmsd1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b05d1a1e-9f4c-4cce-91ad-db5cff9796dd} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b05d1a1e-9f4c-4cce-91ad-db5cff9796dd} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b05d1a1e-9f4c-4cce-91ad-db5cff9796dd} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\jnmsd1.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e094a482-8627-460f-bcf1-d258d3afb34b} (Rogue.PestPatrol) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\Local Page (Hijack.Search) -> Bad: (http://www.iesearch.com/) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\hozr.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\sf.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\m3.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\s.ico (Malware.Trace) -> Quarantined and deleted successfully.

Destrio5 · Answer

---> Redémarre ton PC.

---> Refais la manip' avec UsbFix en laissant bien UsbFix s'installer dans C:\Program Files\

Destrio5 · Answer

---> Désinstalle HijackThis et UsbFix.

---> Relance MBAM, va dans Quarantaine et supprime tout.

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Destrio5 · Answer

Tu sais aller dans C:\ ?

Destrio5 · Answer

C:\ c'est le disque dur C, tu peux y accéder dans le Poste de travail.

Tu vois ce que je veux dire maintenant ?

Destrio5 · Answer

C:\ ou racine de C, c'est être dans le disque dur C, tout simplement.

Si tu choisis d'entrer dans le dossier Windows, tu seras dans C:\Windows\.

Destrio5 · Answer

Oui, c'est bien ce rapport.

---> Réessaie UsbFix.

Destrio5 · Answer

Le faire en mode sans échec.

Tu sais faire ?

Destrio5 · Answer

---> Pour redémarrer en mode sans échec :
- Redémarre ton PC.
- Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisis Mode sans échec.
- Choisis ta session.

Destrio5 · Answer

evylumiR

Utilisateur anonyme · Answer

il suffit juste de rétablie tes paramétré par défaut dans outil quand tes sur la page d'accueil d'internet et tu verra , ça va partir tout seul , maintenant aussi tu commence par fixer tous se qui est eorezo avec hijackthis

chimay8 · Answer

ZERO,
attend la...tu arrives comme ça,au 56 ième messages

et tu postes sans savoir...ta même pas été lire les autres postes du topic...
bref,t'évite ce genre de réponses 
nous,on appelle cela de la pollution
merci

Destrio5 · Answer

Je ne te demande pas de rentrer dans le BIOS.

Destrio5 · Answer

Ton PC est de quelle marque ?

Destrio5 · Answer

WinLSD 3.5 :
http://www.commentcamarche.net/faq/sujet 2981 j utilise une version piratee de windows

Tout au démarrage, tu as quoi qui s'affiche ?

Destrio5 · Answer

Tapote sur F8 juste avant le chargement de Windows.

Destrio5 · Answer

Avant le bienvenue, tu n'as pas une barre qui défile ?

Destrio5 · Answer

Je parle de ceci :
http://images.punweb.org/windows/xp/xp12.jpg

Destrio5 · Answer

Normalement, je suis censé arrêter la désinfection à cause de ton Windows pirate mais je vais quand même continuer.

---> Désinstalle UsbFix.

Destrio5 · Answer

"Oh merci bien, car ce n'est pas ma faute si cet ordi est configuré ainsi."
---> Oui mais en plus d'être illégales, ces versions modifiées contiennent des bogues.

Destrio5 · Answer

C'est le mot bug en français.

Je regarde le rapport RSIT que j'ai, un peu plus tard.

Destrio5 · Answer

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes
explorer.exe 

:files 
C:\WINDOWS\system32\hozr.dll  
C:	el.xls.exe
D:	el.xls.exe
I:	el.xls.exe
G:	el.xls.exe
D:\AdobeR.exe 
C:\AdobeR.exe
G:\AdobeR.exe
I:\AdobeR.exe

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B05D1A1E-9F4C-4CCE-91AD-DB5CFF9796DD}] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"RegistryMechanic"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BSserver] 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45c8f018-ba35-11dd-8735-0013d4657412}]   
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6515481c-b17c-11dd-8722-0013d4657412}]     
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6a8eee07-707b-11dc-8584-00147879107c}] 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d44e03e-b0de-11dd-8720-0013d4657412}] 

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Destrio5 · Answer

Clique droit sur Avast puis désactive la protection résidente.

Destrio5 · Answer

1/

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


2/

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

Destrio5 · Answer

---> Désinstalle les programmes suivants :
- Java 2 Runtime Environment, SE v1.4.1_01   
- Java 2 Runtime Environment, SE v1.4.2_03 
- Java 6 Update 7
- HijackThis

Ton PC va bien ?

Destrio5 · Answer

Pour les tchats par exemple. Tu as la version 6 Update 11 donc il faut supprimer les anciennes.

Pour les lignes 018, pas de soucis.

Destrio5 · Answer

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
* Lance-le. Va dans Outils puis Programmes de désinstallations.
* Sélectionne Java 2 Runtime Environment, SE v1.4.1_01  puis clique sur Efface l'Entrée.
* Fais de même pour Java 2 Runtime Environment, SE v1.4.2_03 .

Destrio5 · Answer

1/

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


2/

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php


4/

Pour moi, Antivir est mieux qu'Avast :
http://www.commentcamarche.net/telecharger/telecharger 55 antivir

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Comme navigateur, utilise plutôt Mozilla Firefox qu'Internet Explorer. Tu peux utiliser l'extension Noscript pour plus de sécurité.

Tu peux aussi modifier le fichier Hosts pour améliorer la sécurité de ton PC :
http://www.commentcamarche.net/faq/sujet 5993 modifier son fichier hosts
https://blog.sosordi.net/category/articles

Par rapport au P2P :
http://forum.malekal.com/ftopic3257.php  

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) :
https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf


Sois plus vigilant sur Internet ;)

ATTENTION SITE MALVEILLANT

45 réponses

Discussions similaires

Newsletters