eorezo lo.st...

Question

bonjour,
mon ordi est infecté par eorezo notamment et plein d'autre encore
( des pub pour telephone, gps...)
Des pub intempestive qui s'ouvre les unes a la suite des autres.


j'ai fait le scan sur ad remover 
quelqu'un peut il m'aider?
merci beaucoup



Configuration: Windows Vista / Internet Explorer 7.0

Nydarion · Answer

...

Tu peux envoyer le rapport AD Remover 

@+

joaa · Answer

.
Lancé à: 11:34:51 le 26/05/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) Édition Familiale Premium  (Service Pack 2 - X86)
Nom du PC: PC-DE-JOANNE (MEDIONPC MS-7255)
Utilisateur actuel: joanne
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Program Files\EoRezo
C:\Users\joanne\AppData\Local\EoRezo
C:\Users\joanne\AppData\Roaming\EoRezo
.
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
HKLM\Software\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
HKLM\Software\Classes\AppID\EoEngineBHO.DLL
HKLM\Software\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
HKLM\Software\Classes\EoEngineBHO.EOBHO
HKLM\Software\Classes\EoEngineBHO.EOBHO.1
HKLM\Software\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
HKLM\Software\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
HKLM\Software\EoRezo
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 8.0.6001.18904 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: no
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.aldi.com/
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: hxxp://lo.st/?tabs
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 0 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 2643 Octet(s)
.
Fin à: 11:41:41, 26/05/2010
.
============== E.O.F - SCAN[1] ==============

Nydarion · Answer

/!\ Déconnectez-vous et fermez toutes les applications en cours /!\

*Double cliquez sur AD-R.exe sur votre bureau.

*Au menu principal choisissez l'option "Nettoyer""

/!\ Laissez travailler l'outil /!\    

*Une fois le scan terminé , un rapport d'analyse s'ouvre . Il vous reste plus qu'à poster sur le forum.

(Le rapport est aussi sauvegardé sous C:\Ad-Report-CLEAN.txt!)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

@+

joaa · Answer

oui jai deja essayer ccl cleaner et spybot
ça fonctionnait un moment et maintenant c'est pire

et ce depuis que j'ai installée le nouveau avast de couleur orange
avant j'avais le bleu
je sais pas si ça peut vous aider

merci pour les reponses si rapides ^^

joaa · Answer

voila:


.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:59:29 le 26/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) Édition Familiale Premium  (Service Pack 2 - X86)
Nom du PC: PC-DE-JOANNE (MEDIONPC MS-7255)
Utilisateur actuel: joanne
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files\EoRezo
C:\Users\joanne\AppData\Local\EoRezo
C:\Users\joanne\AppData\Roaming\EoRezo

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
HKLM\Software\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
HKLM\Software\Classes\AppID\EoEngineBHO.DLL
HKLM\Software\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
HKLM\Software\Classes\EoEngineBHO.EOBHO
HKLM\Software\Classes\EoEngineBHO.EOBHO.1
HKLM\Software\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
HKLM\Software\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
HKLM\Software\EoRezo
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 8.0.6001.18904 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: no
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 27 Fichier(s)
C:\Ad-Remover\Backup: 15 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2942 Octet(s)
C:\Ad-Report-SCAN[1].txt - 2767 Octet(s)
.
Fin à: 12:05:55, 26/05/2010
.
============== E.O.F - CLEAN[1] ==============

Nydarion · Answer

Re

Analyse avec un Anti-Malware :

/"""!"""/Téléchargez MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau./"""!"""/

*Installez puis lancez le programme.

*Faites les mises à jour (Cliquez sur l'onglet Mises à jour puis Recherche de mises à jour).

*Cliquez sur l'onglet "Recherche" puis selectioné "Exécuter un examen complet" puis sur "Rechercher" et sélectionnez tous les disques durs.

*Il ne vous reste plus qu'à patienter, le scan sera plus ou moins  long selon selon la contenance de votre disque dur. 

*Une fois le scan terminé, cliquez sur "OK" puis "Afficher résultats".

*Vérifiez que tout soit bien coché puis cliquez sur"Supprimer la sélection".

*(Si un message demande de redémarrer le PC pour terminer la suppression, Acceptez).

*Une fois le nettoyage achevé,le rapport s'ouvre,à copier-coller sur le forum.

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


Ensuite :

Utilisation d'un logiciel de diagnostic :         

/"""!"""/Téléchargez ZHPDiag (de Nicolas Coolman)   sur votre Bureau./"""!"""/         

*Se laisser guider lors de l'installation, le programme se lancera automatiquement à la fin.         

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » /!\        

*Cliquez sur l'icône représentant une loupe "Lancer le diagnostic"         

*Enregistrez le rapport sur le Bureau à l'aide de l'icône représentant une disquette         

*Hébergez le rapport ZHPDiag.txt sur un site tel que http://www.cijoint.fr , puis copier/coller le lien fourni sur le forum.         

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

@+

joaa · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4144

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

26/05/2010 14:07:18
mbam-log-2010-05-26 (14-07-18).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 299174
Temps écoulé: 1 heure(s), 13 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b4a78d29-52b1-4a7b-bac0-1471bedf9836} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Ad-Remover\Quarantine\C\Program Files\EoRezo\eorezo.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoRezoBHO.dll.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Ad-Remover\Quarantine\C\Users\joanne\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdate.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Ad-Remover\Quarantine\C\Users\joanne\AppData\Roaming\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.

joaa · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cijwiR78NT.txt 

c'est ça?? 

merci

Nydarion · Answer

Re     

Avant désinstalles Spybot - Search & Destroy stp...  

/"""!"""/Téléchargez ComboFix (de sUBs) sur votre Bureau.    /"""!"""/        

http://download.bleepingcomputer.com/sUBs/ComboFix.exe            

/!\Désactivez temporairement toute protection résidente /!\ (Antivirus ,             
Antispywares..)            
 
*Double cliquez sur ComboFix.exe.(Sous Vista , il faut cliquer droit sur Combofix.exe et choisir Exécuter en tant qu'administrateur).            

*Acceptez la licence en cliquant sur Oui.            

*Le programme va vous demander si vous souhaitez installer la Console de Récupération ,Cliquez sur Oui        

*Lorsque l'opération sera terminée, un rapport apparaîtra. Postez ce rapport dans votre prochaine réponse.            

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)      

Comment utiliser ComboFix :            

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix            

@+    
Comment les infections s'installent-elles dans un système ?    
Comment faire pour les éviter ?

joaa · Answer

ComboFix 10-05-25.05 - joanne 26/05/2010  15:17:03.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.2046.1296 [GMT 2:00]
Lancé depuis: c:\users\joanne\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1229 [VPS 081124-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: avast! antivirus 4.8.1229 [VPS 081124-0] *enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}
SP: Spybot - Search and Destroy *enabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\%appdata%

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-26 au 2010-05-26  ))))))))))))))))))))))))))))))))))))
.

2010-05-26 13:23 . 2010-05-26 13:26	--------	d-----w-	c:\users\joanne\AppData\Local	emp
2010-05-26 13:23 . 2010-05-26 13:23	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-05-26 12:17 . 2010-05-26 12:19	--------	d-----w-	c:\program files\ZHPDiag
2010-05-26 10:51 . 2010-05-26 10:51	--------	d-----w-	c:\users\joanne\AppData\Roaming\Malwarebytes
2010-05-26 10:51 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-26 10:51 . 2010-05-26 10:51	--------	d-----w-	c:\programdata\Malwarebytes
2010-05-26 10:51 . 2010-05-26 10:51	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-05-26 10:51 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-05-26 09:34 . 2010-05-26 10:05	--------	d-----w-	C:\Ad-Remover
2010-05-26 08:54 . 2010-04-23 14:13	2048	----a-w-	c:\windows\system32	zres.dll
2010-05-19 09:44 . 2010-05-19 09:44	--------	d-----w-	c:\programdata\Alwil Software
2010-05-12 11:34 . 2010-01-29 15:40	738816	----a-w-	c:\windows\system32\inetcomm.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-26 12:14 . 2006-11-02 15:48	669328	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-26 12:14 . 2006-11-02 15:48	123350	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-26 09:20 . 2009-01-22 18:34	--------	d-----w-	c:\program files\Microsoft
2010-05-19 09:47 . 2007-12-02 10:35	--------	d-----w-	c:\program files\Alwil Software
2010-05-16 19:53 . 2009-11-25 10:17	--------	d-----w-	c:\users\joanne\AppData\Roaming\Canon
2010-05-14 19:17 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-05-14 18:53 . 2007-07-19 06:53	--------	d-----w-	c:\programdata\Microsoft Help
2010-05-12 09:21 . 2009-10-04 17:26	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-06 20:59 . 2007-12-02 10:35	38848	----a-w-	c:\windows\system32\avastSS.scr
2010-05-06 20:59 . 2007-12-02 10:35	165032	----a-w-	c:\windows\system32\aswBoot.exe
2010-05-06 20:39 . 2007-12-02 10:35	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-05-06 20:39 . 2008-06-16 19:04	164048	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-05-06 20:34 . 2007-12-02 10:35	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-05-06 20:34 . 2007-12-02 11:14	51792	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2010-05-06 20:33 . 2008-06-16 19:04	19024	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-04-28 18:31 . 2007-08-29 14:45	--------	d-----w-	c:\program files\Messenger Plus! Live
2010-03-05 14:01 . 2010-04-14 09:36	420352	----a-w-	c:\windows\system32\vbscript.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-19 39408]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-07-19 220160]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"Pop-Up Stopper"="c:\program files\Panicware\Pop-Up Stopper\dpps2.exe" [2003-01-13 868352]
"CloneCDElbyCDFL"="c:\program files\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 45056]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-06-16 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-16 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-16 81920]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-10 282624]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-08-05 647520]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-02 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-05-06 2815192]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux3"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):4d,e1,66,ac,13,3d,ca,01

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 135664]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2009-09-23 238960]
R3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\DRIVERS\usb8023.sys [2009-04-11 15872]
S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys [2002-11-28 22016]
S0 ViBus;ViBus;c:\windows\system32\DRIVERS\ViBus.sys [2007-03-26 16896]
S0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\DRIVERS\ViPrt.sys [2007-03-26 52224]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-05-06 51792]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2010-05-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 13:41]

2010-05-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 13:41]

2010-05-21 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2008\OneClick.exe [2008-01-16 11:28]

2010-05-26 c:\windows\Tasks\User_Feed_Synchronization-{CB6A3717-15DF-4B55-9F52-97E8ABB9A82D}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]

2010-05-26 c:\windows\Tasks\User_Feed_Synchronization-{FA1BF6EA-963A-4CFE-8900-832509AC6DD6}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
LSP: c:\windows\system32\wpclsp.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-9832f12e - c:\users\joanne\AppData\Local\Temp\ipmalphb.dll
MSConfigStartUp-BM9b01c2b2 - c:\users\joanne\AppData\Local\Temp\emqaqnhb.dll
MSConfigStartUp-cmds - c:\users\joanne\AppData\Local\Temp\opnlLcby.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-26 15:25
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(3828)
c:\program files\Panicware\Pop-Up Stopper\DPHOOK32.DLL
c:\windows\PANICNT.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\System32undll32.exe
c:\windows\System32undll32.exe
c:\program files\Alwil Software\Avast5\AvastUI.exe
c:\windows\ehome\ehmsas.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-05-26  15:34:45 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-05-26 13:34

Avant-CF: 148 991 725 568 octets libres
Après-CF: 148 940 423 168 octets libres

- - End Of File - - 3596E5116BD0BFA34B61D40C3501725C

joaa · Answer

j'ai zapper de desinstallé spybote
je doit recommencer?

et pourquoi a chaque fois que j'essaye de me connecter je reçois un message qui me dis

"la connexion que vous allez utiliser n'est pas sécurisée. d'autres utilisateurs du web pourront dorénavant accéder aux informations que vous envoyez"

Nydarion · Answer

/!\Désactivez votre antivirus le temps de la manipulation ainsi que votre pare-feu si présent (car l'outil est détecté à tort comme infection). /!\    
    
/"""!"""/Téléchargez et  List&Kill'em et enregistrez le sur votre bureau /"""!"""/    

*Branchez clés usb, disques durs externes, mp3, mp4, etc à votre ordinateur.     

*Double-cliquez (clic-droit "Exécuter en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur votre bureau pour lancer l'installation.     

*Cochez la case "Créer une icône sur le bureau".     

*Une fois terminé, cliquez sur "Terminer" et le programme se lancera tout seul.     

*Choisissez la langue puis choisissez l'option 1 = Mode Recherche.    ('option Search )

/!\Laissez travailler l'outil./!\    

*Postez le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"    

@+       


Comment les infections s'installent-elles dans un système ?       
Comment faire pour les éviter ?

joaa · Answer

SmitFraudFix v2.424

Scan done at 16:04:48,94, 26/05/2010
Run from C:\Users\joanne\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6002] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Panicware\Pop-Up Stopper\dpps2.exe
C:\Windows\System32undll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\svchost.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32undll32.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\joanne


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\joanne\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\joanne\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\joanne\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\PROGRA~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine II Fast Ethernet Adapter
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9AFEDC0D-4212-4D3D-908D-5EA812A5D150}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BE6FD7D5-36C3-4632-906E-CC3A109A5BE2}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9AFEDC0D-4212-4D3D-908D-5EA812A5D150}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BE6FD7D5-36C3-4632-906E-CC3A109A5BE2}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9AFEDC0D-4212-4D3D-908D-5EA812A5D150}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BE6FD7D5-36C3-4632-906E-CC3A109A5BE2}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9AFEDC0D-4212-4D3D-908D-5EA812A5D150}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{BE6FD7D5-36C3-4632-906E-CC3A109A5BE2}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Nydarion · Answer

dsl je me suis trompé d'outil...  ( supprime ton message SmitFraudFix )    
   
"la connexion que vous allez utiliser n'est pas sécurisée. d'autres utilisateurs du web pourront dorénavant accéder aux informations que vous envoyez"   
   
-Lance un scan avec CCleaner pour supprimer les cookies et les fichiers temporaires.   


-ce n'est pas important ça coche "ne plus m'avertir" ou un truc dans le genre et accepte d'aller plus loin en cliquant sur "oui"à la demande   

C'est juste une indication de base d'IE   
Tu as bien remis tes paramètres de navigations par défaut dans outil -> option internet ?   

Dans toutes les zones (internet , intranet, site de confiance etc ...) dans l'onglet "sécurité" ?   

Ainsi que dans l'onglet "avancés" ?   

Si non , fais le et redémarre IE (https://www.luanagames.com/index.fr.html  )
@+  

Comment les infections s'installent-elles dans un système ?     
Comment faire pour les éviter ?

joaa · Answer

page web introuvable a propos de votre lien pour list&kill...
pouvez vous me redonner un lien?
(je ne veux pas telecharger n'importe quoi)

et pourquoi a chaque fois que j'essaye de me connecter je reçois un message qui me dis 

"la connexion que vous allez utiliser n'est pas sécurisée. d'autres utilisateurs du web pourront dorénavant accéder aux informations que vous envoyez"
depuis que j'ai utiliser combofix

merci de me repondre

Nydarion · Answer

Pour info tu es infectés aussi par  "VirusEffaceur" (VirusEffaceur est un faux anti-spyware qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infectés par un spyware et vous recommande d'acheter l'anti-spyware VirusEffaceur qui est un produit commercial.) 
Décidément ...  

http://sd-1.archive-host.com/...  

Comment les infections s'installent-elles dans un système ?  
Comment faire pour les éviter ?

Eorezo lo.st...

16 réponses

Votre réponse

Discussions similaires

Newsletters