Eorezo ? Cheval de troie ?

louni13 -  
 gen-hackman -
Bonjour,
Mon anti-virus me dit que j'ai un cheval de troie.
Apparemment je suis infectée par Artemis! BAA 183393C7A eorezo;
Ce qu'il se passe depuis quelque temps, Lost se met automatiquement en page d'acceuil internet alors que je met Google et je suis sans arrêt bombardée de pub.
j'ai téléchargée AD-R, j'aie scannée et voici le rapport :
======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 01:46:08 le 29/08/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Basique Service Pack 2 (X86)
Nathalie@PC-DE-NATHALIE (Compaq-Presario NM832AA-ABF CQ5008FR)

============== RECHERCHE ==============

0,Dossier trouvé: C:\Users\Nathalie\AppData\Roaming\EoRezo
0,Dossier trouvé: C:\Users\Nathalie\AppData\Local\EoRezo
0,Dossier trouvé: C:\Program Files\EoRezo
0,Dossier trouvé: C:\Users\Nathalie\AppData\LocalLow\Smart-Shopper
0,Dossier trouvé: C:\Program Files\TorrentSpeeder

-- Fichier ouvert: C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\6mo9lcmo.default\Prefs.js --
Ligne trouvée: user_pref("browser.startup.homepage", "hxxp://y.lo.st");
-- Fichier Fermé --

1,Clé trouvée: HKLM\Software\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé trouvée: HKLM\Software\Classes\Interface\{90F62EF7-58D1-4E8E-BB3E-CFB10BA9E47B}
1,Clé trouvée: HKLM\Software\Classes\Interface\{B2B92BC9-E149-4EE8-A93E-0B8CFB329808}
1,Clé trouvée: HKLM\Software\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
1,Clé trouvée: HKLM\Software\Classes\Interface\{E79B1445-DFEA-4BEF-A786-E0C0F33C863B}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{022C671F-6CBA-4A03-A8F9-3B3A361B235A}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{305C6CB1-9D31-4489-881D-5A8E2DC3FE14}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{8AD815FC-607B-419F-8B70-D345A507A54E}
0,Clé trouvée: HKLM\Software\Classes\EoEngineBHO.EOBHO
0,Clé trouvée: HKLM\Software\Classes\EoEngineBHO.EOBHO.1
0,Clé trouvée: HKLM\Software\Classes\AppID\EoEngineBHO.DLL
1,Clé trouvée: HKLM\Software\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
0,Clé trouvée: HKLM\Software\EoRezo
0,Clé trouvée: HKLM\Software\Freeze.com
0,Clé trouvée: HKCU\Software\EoRezo
0,Clé trouvée: HKCU\Software\Freeze.com
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo

============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\6mo9lcmo.default\Prefs.js --
browser.search.defaultenginename, MyStart Search
browser.search.selectedEngine, MyStart Search
browser.startup.homepage, hxxp://y.lo.st
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search=

========================================

** Internet Explorer Version [8.0.6001.18943] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=Presario&pf=cndt
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://g.msn.fr/0SEFRFR/SAOS02
Search Page: hxxp://home.microsoft.com/access/allinone.asp
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=Presario&pf=cndt
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=Presario&pf=cndt

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: hxxp://y.lo.st
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 29/08/2010 (4580 Octet(s))

Fin à: 01:48:39, 29/08/2010

AIDEZ MOI A ME DEBARASSAER DE CE VIRUS S'IL VOUS PLAIT.

5 réponses

  1. gen-hackman
     
    salut :

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
  2. louni13
     
    Bonjour,

    Merci pour ta réponse rapide,

    J'ai nettoyé comme tu me l'a dit et voici la rapport :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:30:09 le 29/08/2010, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Basique Service Pack 2 (X86)
    Nathalie@PC-DE-NATHALIE (Compaq-Presario NM832AA-ABF CQ5008FR)

    ============== ACTION(S) ==============

    0,Dossier supprimé: C:\Users\Nathalie\AppData\Roaming\EoRezo
    0,Dossier supprimé: C:\Users\Nathalie\AppData\Local\EoRezo
    0,Dossier supprimé: C:\Program Files\EoRezo
    0,Dossier supprimé: C:\Users\Nathalie\AppData\LocalLow\Smart-Shopper
    0,Dossier supprimé: C:\Program Files\TorrentSpeeder

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\6mo9lcmo.default\Prefs.js --
    Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://y.lo.st");
    -- Fichier Fermé --

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{90F62EF7-58D1-4E8E-BB3E-CFB10BA9E47B}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{B2B92BC9-E149-4EE8-A93E-0B8CFB329808}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{E79B1445-DFEA-4BEF-A786-E0C0F33C863B}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{022C671F-6CBA-4A03-A8F9-3B3A361B235A}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{305C6CB1-9D31-4489-881D-5A8E2DC3FE14}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{8AD815FC-607B-419F-8B70-D345A507A54E}
    0,Clé supprimée: HKLM\Software\Classes\EoEngineBHO.EOBHO
    0,Clé supprimée: HKLM\Software\Classes\EoEngineBHO.EOBHO.1
    0,Clé supprimée: HKLM\Software\Classes\AppID\EoEngineBHO.DLL
    1,Clé supprimée: HKLM\Software\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
    0,Clé supprimée: HKLM\Software\EoRezo
    0,Clé supprimée: HKLM\Software\Freeze.com
    0,Clé supprimée: HKCU\Software\EoRezo
    0,Clé supprimée: HKCU\Software\Freeze.com
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

    0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [Impossible d'obtenir la version] **

    -- C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\6mo9lcmo.default\Prefs.js --
    browser.search.defaultenginename, MyStart Search
    browser.search.selectedEngine, MyStart Search
    browser.startup.homepage_override.mstone, rv:1.9.2.3
    keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search=

    ========================================

    ** Internet Explorer Version [8.0.6001.18943] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 25 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 29/08/2010 (4619 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 29/08/2010 (4709 Octet(s))

    Fin à: 10:32:06, 29/08/2010

    ============== E.O.F ==============
    Que dois-je faire maintenant ???
    0
  3. gen-hackman
     
    bonjour

    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    ▶ Télécharge ici :List_Kill'em

    et enregistre le sur ton bureau

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

    choisis l'option Search

    ▶ laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶ Fais de même avec more.txt qui se trouve sur ton bureau
    0
  4. louni13
     
    je n'arrive pas à inastaller List_kill'em. Lorsque je l'installe, un message s'affiche "CreateProcess a échoué; code 740 L'opération demandée nécessite un élévation".
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    c'est que tu ne lis pas bien les instructions
    0