Infection eorezo

Question

Bonjour,

J'ai depuis quelques temps un problème récurrent sur mon ordinateur de bureau: la page d'accueil de Firefox se met automatiquement sur le moteur de recherche lo.st, et elle revient toujours, même si je change le lien dans Options. De plus, il arrive assez souvent que des pages Internet Explorer s'ouvrent toutes seules (parfois une vingtaine), avec une url qui contient 'eorezo'.

Je ne sais pas d'où ça vient, car je n'utilise pas cet ordinateur, et que mon père a tendance a cliquer sur n'importe quoi... Voilà donc le rapport fourni par AD-Remover:

1,Clé trouvée: HKLM\Software\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{13B1A411-66D8-49AC-BBC6-0102F0918AED}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{15D9CA76-F712-4548-B2A5-C67CD47AC47A}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
0,Clé trouvée: HKLM\Software\Classes\EoEngineBHO.EOBHO
0,Clé trouvée: HKLM\Software\Classes\EoEngineBHO.EOBHO.1
0,Clé trouvée: HKLM\Software\Classes\AppID\EoEngineBHO.DLL
1,Clé trouvée: HKLM\Software\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
0,Clé trouvée: HKLM\Software\EoRezo
0,Clé trouvée: HKCU\Software\EoRezo
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SpiderMessenger_is1

0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo
0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Softwarehelper
0,Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|spidermessenger
0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\René\Application Data\Mozilla\FireFox\Profiles\iuppd1o4.default\Prefs.js --
browser.startup.homepage, hxxp://y.lo.st
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [6.0.2900.5512] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Do404Search: 0x01000000
First Home Page: hxxp://y.lo.st
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://y.lo.st

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: hxxp://y.lo.st
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 29/07/2010 (444 Octet(s))

Fin à: 07:50:54, 29/07/2010
 
============== E.O.F ==============


Merci de bien vouloir me dire si je peux passer à l'étape suivante, ou m'indiquer la marche à suivre.

Cordialement,

Configuration: Windows XP / Firefox 3.6.8

crapoulou · Answer

Bonjour,

Passe à l'étape de suppression avec AD-R.

Suppression avec AD-R :

/!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\  

* Exécute AD-R. 
* Au menu principal clique sur le bouton "Nettoyer". 
* Poste le rapport qui apparaît à la fin. 
(Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt)

Litame · Answer

Bonjour,
Voilà le rapport en question:

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:45:33 le 29/07/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
René@LITAME ( ) 
 
============== ACTION(S) ==============


0,Fichier supprimé: C:\DOCUME~1\REN~1\LOCALS~1\Temp\AskInstallChecker.exe
0,Dossier supprimé: C:\DOCUME~1\REN~1\LOCALS~1\Temp\AskSearch
0,Fichier supprimé: C:\DOCUME~1\REN~1\LOCALS~1\Temp\ASKSUTBLOG
0,Fichier supprimé: C:\DOCUME~1\REN~1\LOCALS~1\Temp\Del_AskHPRFF.VBS
0,Dossier supprimé: C:\Documents and Settings\René\Application Data\EoRezo
0,Dossier supprimé: C:\Documents and Settings\René\Local Settings\Application Data\EoRezo
0,Dossier supprimé: C:\Program Files\EoRezo
0,Dossier supprimé: C:\Documents and Settings\René\Local Settings\Application Data\SpiderMessenger
0,Dossier supprimé: C:\Program Files\SpiderMessenger

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\René\Application Data\Mozilla\FireFox\Profiles\iuppd1o4.default\Prefs.js --
Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://y.lo.st"); 
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{ADE49752-DBBC-43A3-9498-379A82F574BF}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ADE49752-DBBC-43A3-9498-379A82F574BF}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ADE49752-DBBC-43A3-9498-379A82F574BF}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé supprimée: HKLM\Software\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{13B1A411-66D8-49AC-BBC6-0102F0918AED}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{15D9CA76-F712-4548-B2A5-C67CD47AC47A}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
0,Clé supprimée: HKLM\Software\Classes\EoEngineBHO.EOBHO
0,Clé supprimée: HKLM\Software\Classes\EoEngineBHO.EOBHO.1
0,Clé supprimée: HKLM\Software\Classes\AppID\EoEngineBHO.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
0,Clé supprimée: HKLM\Software\EoRezo
0,Clé supprimée: HKCU\Software\EoRezo
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SpiderMessenger_is1

0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo
0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Softwarehelper
0,Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|spidermessenger
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\René\Application Data\Mozilla\FireFox\Profiles\iuppd1o4.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [6.0.2900.5512] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 431 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 29/07/2010 (1353 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 29/07/2010 (4802 Octet(s)) 

Fin à: 18:55:04, 29/07/2010 
 
============== E.O.F ============== 


La page d'accueil intempestive semble avoir disparue.
Cordialement,
Litame

crapoulou · Answer

Très bien, tu es débarrassé également au passage de :
SpiderMessenger
AskToolbar.

Désires-tu faire une analyse plus en profondeur de ton PC ?

Litame · Answer

Oui, je pense que cela lui fera le plus grand bien :)
Quelle est la marche à suivre?

crapoulou · Answer

Pour établir un diagnostic plus en profondeur de ton PC :
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =

* Double clique sur RSIT.exe pour le lancer.
* Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt.

Infection eorezo

5 réponses

Votre réponse

Discussions similaires

Newsletters