Infection Lo.st et Eorezo

Résolu
THP38 -  
fred08700 Messages postés 3633 Statut Contributeur sécurité -
Bonjour,


Je fais maintenant partie des infectés par lo.st et Eorezo.
J'ai scanné avec AD-R et le rapport se trouve ci-dessous.
=> une âme charitable peut-elle prendre un peu de tps à me dire quelle suite donner, svp ?


======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 17:55:37 le 14/08/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Parents@THIERRY ( )

============== RECHERCHE ==============

0,Dossier trouvé: C:\Documents and Settings\Parents\Local Settings\Application Data\Conduit
0,Dossier trouvé: C:\Program Files\Conduit
0,Dossier trouvé: C:\Documents and Settings\jeux\Application Data\EoRezo
0,Dossier trouvé: C:\Documents and Settings\Parents\Local Settings\Application Data\EoRezo
0,Dossier trouvé: C:\Program Files\EoRezo
0,Dossier trouvé: C:\Program Files\iMesh Applications
0,Dossier trouvé: C:\Documents and Settings\jeux\Application Data\Soft2PC
0,Dossier trouvé: C:\Documents and Settings\Parents\Local Settings\Application Data\Soft2PC
0,Dossier trouvé: C:\Program Files\Soft2PC

-- Fichier ouvert: C:\Documents and Settings\Parents\Application Data\Mozilla\FireFox\Profiles\pod77s2a.default\Prefs.js --
Ligne trouvée: user_pref("browser.startup.homepage", "hxxp://y.lo.st");
-- Fichier Fermé --

-- Fichier ouvert: C:\Documents and Settings\jeux\Application Data\Mozilla\FireFox\Profiles\p2f27xf8.default\Prefs.js --
Ligne trouvée: user_pref("browser.startup.homepage", "hxxp://y.lo.st");
-- Fichier Fermé --

1,Clé trouvée: HKLM\Software\Classes\CLSID\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé trouvée: HKLM\Software\Classes\Interface\{CC883F50-95BB-4A25-9DBF-B801506F1BC4}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{B52F3553-49FA-4599-81A4-F98951E0B53B}
0,Clé trouvée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO
0,Clé trouvée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO.1
0,Clé trouvée: HKLM\Software\Classes\AppID\Soft2PCBHO.DLL
1,Clé trouvée: HKLM\Software\Classes\AppID\{AB67D16D-3824-4683-B81A-D66DBA61B1AF}
0,Clé trouvée: HKLM\Software\Conduit
0,Clé trouvée: HKLM\Software\EoRezo
0,Clé trouvée: HKLM\Software\soft2PC
0,Clé trouvée: HKCU\Software\Conduit
0,Clé trouvée: HKCU\Software\EoRezo
0,Clé trouvée: HKCU\Software\soft2PC
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Soft2PC_is1
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Software_is1
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Soft2PC_is1

0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo
0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|helper
0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|soft2PC
0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Softwarehelper
0,Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

4 réponses

  1. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    salut

    Déconnecte toi et ferme toutes les applications en cours

    ● Double-clique sur l'icône AD-Remover
    ● Au menu principal, clique sur "Nettoyer"
    ● Confirme le lancement de l'analyse et laisse l'outil travailler
    ● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    <gras<Note :</gras> Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    0
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    et bonne continuation

    edit pour le reste

    CONTRIBUTEUR SECURITE
    0
  3. THP38
     
    Merci à tous ceux qui m'ont déjà répondu.
    Voici le rapport suite au nettoyage :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:25:12 le 14/08/2010, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Parents@THIERRY ( )

    ============== ACTION(S) ==============

    0,Dossier supprimé: C:\Documents and Settings\Parents\Local Settings\Application Data\Conduit
    0,Dossier supprimé: C:\Program Files\Conduit
    0,Dossier supprimé: C:\Documents and Settings\jeux\Application Data\EoRezo
    0,Dossier supprimé: C:\Documents and Settings\Parents\Local Settings\Application Data\EoRezo
    0,Dossier supprimé: C:\Program Files\EoRezo
    0,Dossier supprimé: C:\Program Files\iMesh Applications
    0,Dossier supprimé: C:\Documents and Settings\jeux\Application Data\Soft2PC
    0,Dossier supprimé: C:\Documents and Settings\Parents\Local Settings\Application Data\Soft2PC
    0,Dossier supprimé: C:\Program Files\Soft2PC

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Documents and Settings\Parents\Application Data\Mozilla\FireFox\Profiles\pod77s2a.default\Prefs.js --
    Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://y.lo.st");
    -- Fichier Fermé --

    -- Fichier ouvert: C:\Documents and Settings\jeux\Application Data\Mozilla\FireFox\Profiles\p2f27xf8.default\Prefs.js --
    Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://y.lo.st");
    -- Fichier Fermé --

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{CC883F50-95BB-4A25-9DBF-B801506F1BC4}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{B52F3553-49FA-4599-81A4-F98951E0B53B}
    0,Clé supprimée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO
    0,Clé supprimée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO.1
    0,Clé supprimée: HKLM\Software\Classes\AppID\Soft2PCBHO.DLL
    1,Clé supprimée: HKLM\Software\Classes\AppID\{AB67D16D-3824-4683-B81A-D66DBA61B1AF}
    0,Clé supprimée: HKLM\Software\Conduit
    0,Clé supprimée: HKLM\Software\EoRezo
    0,Clé supprimée: HKLM\Software\soft2PC
    0,Clé supprimée: HKCU\Software\Conduit
    0,Clé supprimée: HKCU\Software\EoRezo
    0,Clé supprimée: HKCU\Software\soft2PC
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Soft2PC_is1
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Software_is1
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Soft2PC_is1

    0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo
    0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|helper
    0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|soft2PC
    0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Softwarehelper
    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.8 (fr)] **

    -- C:\Documents and Settings\Parents\Application Data\Mozilla\FireFox\Profiles\pod77s2a.default\Prefs.js --
    browser.download.lastDir, C:\\Documents and Settings\\Parents\\Mes documents\\Mes images
    browser.search.defaultenginename, Durable
    browser.search.defaulturl, hxxp://www.durable.com/result?cx=partner-pub-7902900401080901%3Azbljezwsgul&cof=FORID%3A10&ie...
    browser.search.selectedEngine, Google
    browser.startup.homepage_override.mstone, rv:1.9.2.8
    keyword.URL, hxxp://www.durable.com/result?cx=partner-pub-7902900401080901%3Azbljezwsgul&cof=FORID%3A10&ie=UTF-8&q=

    -- C:\Documents and Settings\jeux\Application Data\Mozilla\FireFox\Profiles\p2f27xf8.default\Prefs.js --
    browser.startup.homepage_override.mstone, rv:1.9.2.8

    ========================================

    ** Internet Explorer Version [6.0.2900.5512] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 73 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 14/08/2010 (1575 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 14/08/2010 (5406 Octet(s))

    Fin à: 18:30:09, 14/08/2010

    ============== E.O.F ==============
    0
  4. fred08700 Messages postés 3633 Statut Contributeur sécurité 550
     
    re

    ok

    Relances ad-remover et clique sur " désinstaller"

    Infection eorezo : Informations sur Eorezo

    Nos sélections de liens sponsorisés Eorezo nous permettent, via nos partenaires, de vous offrir un service gratuit de qualité et d'assurer une constante évolution de nos services.
    A des fins statistiques et pour déduire l'audience française sur Internet, EoRezo peut être amené à recueillir des informations concernant les sites visités par l'internaute.
    Ces informations récoltées sont et restent totalement anonymes, et ne permettent en aucun cas de les rattacher à une personne physique.

    Voici un article de Malekal sur le sujet:

    Eorezo qu'est-ce donc ?

    C'est un adware qui vous submerge de pub (spam) en tout genre.

    As-tu d'autres soucis ?
    0