Sujet Précédent Sujet Suivant

Eorezo ? Cheval de troie ?

Fermé
louni13 - 29 août 2010 à 02:00
 Utilisateur anonyme - 29 août 2010 à 16:30
Bonjour,
Mon anti-virus me dit que j'ai un cheval de troie.
Apparemment je suis infectée par Artemis! BAA 183393C7A eorezo;
Ce qu'il se passe depuis quelque temps, Lost se met automatiquement en page d'acceuil internet alors que je met Google et je suis sans arrêt bombardée de pub.
j'ai téléchargée AD-R, j'aie scannée et voici le rapport :
======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 01:46:08 le 29/08/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Basique Service Pack 2 (X86)
Nathalie@PC-DE-NATHALIE (Compaq-Presario NM832AA-ABF CQ5008FR)

============== RECHERCHE ==============


0,Dossier trouvé: C:\Users\Nathalie\AppData\Roaming\EoRezo
0,Dossier trouvé: C:\Users\Nathalie\AppData\Local\EoRezo
0,Dossier trouvé: C:\Program Files\EoRezo
0,Dossier trouvé: C:\Users\Nathalie\AppData\LocalLow\Smart-Shopper
0,Dossier trouvé: C:\Program Files\TorrentSpeeder

-- Fichier ouvert: C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\6mo9lcmo.default\Prefs.js --
Ligne trouvée: user_pref("browser.startup.homepage", "hxxp://y.lo.st");
-- Fichier Fermé --


1,Clé trouvée: HKLM\Software\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé trouvée: HKLM\Software\Classes\Interface\{90F62EF7-58D1-4E8E-BB3E-CFB10BA9E47B}
1,Clé trouvée: HKLM\Software\Classes\Interface\{B2B92BC9-E149-4EE8-A93E-0B8CFB329808}
1,Clé trouvée: HKLM\Software\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
1,Clé trouvée: HKLM\Software\Classes\Interface\{E79B1445-DFEA-4BEF-A786-E0C0F33C863B}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{022C671F-6CBA-4A03-A8F9-3B3A361B235A}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{305C6CB1-9D31-4489-881D-5A8E2DC3FE14}
1,Clé trouvée: HKLM\Software\Classes\TypeLib\{8AD815FC-607B-419F-8B70-D345A507A54E}
0,Clé trouvée: HKLM\Software\Classes\EoEngineBHO.EOBHO
0,Clé trouvée: HKLM\Software\Classes\EoEngineBHO.EOBHO.1
0,Clé trouvée: HKLM\Software\Classes\AppID\EoEngineBHO.DLL
1,Clé trouvée: HKLM\Software\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
0,Clé trouvée: HKLM\Software\EoRezo
0,Clé trouvée: HKLM\Software\Freeze.com
0,Clé trouvée: HKCU\Software\EoRezo
0,Clé trouvée: HKCU\Software\Freeze.com
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\6mo9lcmo.default\Prefs.js --
browser.search.defaultenginename, MyStart Search
browser.search.selectedEngine, MyStart Search
browser.startup.homepage, hxxp://y.lo.st
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search=

========================================

** Internet Explorer Version [8.0.6001.18943] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=Presario&pf=cndt
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://g.msn.fr/0SEFRFR/SAOS02
Search Page: hxxp://home.microsoft.com/access/allinone.asp
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=Presario&pf=cndt
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=Presario&pf=cndt

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: hxxp://y.lo.st
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 29/08/2010 (4580 Octet(s))

Fin à: 01:48:39, 29/08/2010

AIDEZ MOI A ME DEBARASSAER DE CE VIRUS S'IL VOUS PLAIT.



A voir également:

5 réponses

Réponse 1 / 5
Utilisateur anonyme
29 août 2010 à 02:05
salut :

▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 2 / 5
louni13
29 août 2010 à 10:52
Bonjour,

Merci pour ta réponse rapide,

J'ai nettoyé comme tu me l'a dit et voici la rapport :

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:30:09 le 29/08/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Basique Service Pack 2 (X86)
Nathalie@PC-DE-NATHALIE (Compaq-Presario NM832AA-ABF CQ5008FR)

============== ACTION(S) ==============


0,Dossier supprimé: C:\Users\Nathalie\AppData\Roaming\EoRezo
0,Dossier supprimé: C:\Users\Nathalie\AppData\Local\EoRezo
0,Dossier supprimé: C:\Program Files\EoRezo
0,Dossier supprimé: C:\Users\Nathalie\AppData\LocalLow\Smart-Shopper
0,Dossier supprimé: C:\Program Files\TorrentSpeeder

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\6mo9lcmo.default\Prefs.js --
Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://y.lo.st");
-- Fichier Fermé --


1,Clé supprimée: HKLM\Software\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
1,Clé supprimée: HKLM\Software\Classes\Interface\{90F62EF7-58D1-4E8E-BB3E-CFB10BA9E47B}
1,Clé supprimée: HKLM\Software\Classes\Interface\{B2B92BC9-E149-4EE8-A93E-0B8CFB329808}
1,Clé supprimée: HKLM\Software\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
1,Clé supprimée: HKLM\Software\Classes\Interface\{E79B1445-DFEA-4BEF-A786-E0C0F33C863B}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{022C671F-6CBA-4A03-A8F9-3B3A361B235A}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{305C6CB1-9D31-4489-881D-5A8E2DC3FE14}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{8AD815FC-607B-419F-8B70-D345A507A54E}
0,Clé supprimée: HKLM\Software\Classes\EoEngineBHO.EOBHO
0,Clé supprimée: HKLM\Software\Classes\EoEngineBHO.EOBHO.1
0,Clé supprimée: HKLM\Software\Classes\AppID\EoEngineBHO.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
0,Clé supprimée: HKLM\Software\EoRezo
0,Clé supprimée: HKLM\Software\Freeze.com
0,Clé supprimée: HKCU\Software\EoRezo
0,Clé supprimée: HKCU\Software\Freeze.com
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Users\Nathalie\AppData\Roaming\Mozilla\FireFox\Profiles\6mo9lcmo.default\Prefs.js --
browser.search.defaultenginename, MyStart Search
browser.search.selectedEngine, MyStart Search
browser.startup.homepage_override.mstone, rv:1.9.2.3
keyword.URL, hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search=

========================================

** Internet Explorer Version [8.0.6001.18943] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 25 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 29/08/2010 (4619 Octet(s))
C:\Ad-Report-SCAN[1].txt - 29/08/2010 (4709 Octet(s))

Fin à: 10:32:06, 29/08/2010

============== E.O.F ==============
Que dois-je faire maintenant ???
0
Réponse 3 / 5
Utilisateur anonyme
29 août 2010 à 15:03
bonjour

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

▶ laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau
0
Réponse 4 / 5
louni13
29 août 2010 à 15:52
je n'arrive pas à inastaller List_kill'em. Lorsque je l'installe, un message s'affiche "CreateProcess a échoué; code 740 L'opération demandée nécessite un élévation".
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Utilisateur anonyme
29 août 2010 à 16:30
c'est que tu ne lis pas bien les instructions
0

Discussions similaires

expressions francaises
bifaka -
lanonyme -

4 réponses
L'antivirus ESET NOD32 bloque UPTOBOX ( HTML/ScrInject.B ).
Logan -
Snoopyx -

10 réponses
EoRezo c'est quoi ?
fan-ds -
we_we -

7 réponses
Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses
Nom d'une musique classique
panoramaaa -
Thierry -

9 réponses