Pc infecté par eoreso et lo.st

Résolu/Fermé
damrub Messages postés 19 Date d'inscription mardi 17 avril 2001 Statut Membre Dernière intervention 20 septembre 2010 - 6 sept. 2010 à 14:31
 Utilisateur anonyme - 20 sept. 2010 à 16:52
Bonjour,





salut la liste,
mon pc est infecté par des malware/spyware que je n'arrive pas à nettoyer avec spybot.
voici les logs fournit par Adremove et stfix.
merci d'avance pour votre aide.


======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 03/09/10 à 23:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 13:08:00 le 06/09/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
freddy@DURON ( )

============== RECHERCHE ==============


0,Dossier trouvé: C:\Documents and Settings\freddy.DURON.001\Application Data\DesktopIcon
0,Dossier trouvé: C:\Documents and Settings\freddy.DURON.001\Application Data\EoRezo

-- Fichier ouvert: C:\Documents and Settings\freddy.DURON.001\Application Data\Mozilla\FireFox\Profiles\x4t7rbh5.default\Prefs.js --
Ligne trouvée: user_pref("extensions.snipit.askTbInstalled", true);
-- Fichier Fermé --


0,Clé trouvée: HKLM\Software\AskBarDis
0,Clé trouvée: HKLM\Software\EoRezo
0,Clé trouvée: HKLM\Software\PopCap
0,Clé trouvée: HKCU\Software\EoRezo
0,Clé trouvée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Eorezo
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Softwarehelper


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\freddy.DURON.001\Application Data\Mozilla\FireFox\Profiles\x4t7rbh5.default\Prefs.js --
browser.download.dir, D:\\blagues\\raymond
browser.download.lastDir, D:\\Celine\\image\\musique
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [7.0.5730.13] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.lo.st

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://home.sweetim.com

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 06/09/2010 (1242 Octet(s))

Fin à: 13:16:18, 06/09/2010

============== E.O.F ==============






########################################################################
#
# ST_Fix v.2.05 par Batch_Man
# Mise à jour le 06/08/2009
# Début a 13:46 le 06/09/2010
# Système d'exploitation: Microsoft Windows XP
# Service Pack: Service Pack 3
# Mode de boot: Normal
# Lancé de D:\sauvegarde\ST_Fix.bat
#
################################ Suppression ###############################
#
# REMPLACEMENT - HKLM\..\Main,Start Page: http://www.lo.st --> 3.0
# REMPLACEMENT - HKLM\..\Main,Start Page: http://www.lo.st --> https://home.sweetim.com/
# REMPLACEMENT - HKCU\..\Main,Start Page: http://www.lo.st --> 3.0
# REMPLACEMENT - HKCU\..\Main,Start Page: http://www.lo.st --> https://www.msn.com/fr-fr/
# SUPPRIMÉ - HKEY_USERS\S-1-5-21-1177238915-412668190-839522115-1004\Software\EoRezo
# SUPPRIMÉ - HKLM\SOFTWARE\EoRezo
# SUPPRIMÉ - HKCU\SOFTWARE\EoRezo
# SUPPRIMÉ - HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
# SUPPRIMÉ - HKLM\Software\Microsoft\Windows\CurrentVersion\Run,SoftwareHelper
# NON SUPPRIMÉ - C:\Documents and Settings\freddy.DURON.001\Application Data\EoRezo
#
################################## Terminé ################################
A voir également:

37 réponses

bonjour,
STFIX étant un peu dépassé, relance ADR, clique sur Nettoyer, poste le rapport d'ADR
O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
0
damrub Messages postés 19 Date d'inscription mardi 17 avril 2001 Statut Membre Dernière intervention 20 septembre 2010
6 sept. 2010 à 23:59
voici le rapport après nettoyage:

======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 03/09/10 à 23:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:38:13 le 06/09/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
freddy@DURON ( )

============== ACTION(S) ==============


0,Dossier supprimé: C:\Documents and Settings\freddy.DURON.001\Application Data\DesktopIcon
0,Dossier supprimé: C:\Documents and Settings\freddy.DURON.001\Application Data\EoRezo

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\freddy.DURON.001\Application Data\Mozilla\FireFox\Profiles\x4t7rbh5.default\Prefs.js --
Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true);
-- Fichier Fermé --


0,Clé supprimée: HKLM\Software\AskBarDis
0,Clé supprimée: HKLM\Software\PopCap
0,Clé supprimée: HKCU\Software\EoRezo
0,Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Eorezo

0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Softwarehelper


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\freddy.DURON.001\Application Data\Mozilla\FireFox\Profiles\x4t7rbh5.default\Prefs.js --
browser.download.dir, D:\\blagues\\raymond
browser.download.lastDir, D:\\Celine\\image\\musique
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [7.0.5730.13] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 06/09/2010 (881 Octet(s))
C:\Ad-Report-SCAN[1].txt - 06/09/2010 (2798 Octet(s))

Fin à: 23:43:57, 06/09/2010

============== E.O.F ==============


merci pour ton aide.
0
Utilisateur anonyme
7 sept. 2010 à 07:22
bonjour,

lance ADR, clique sur désinstaller

veux tu que je vérifie le reste du pc ?

@++
0
damrub Messages postés 19 Date d'inscription mardi 17 avril 2001 Statut Membre Dernière intervention 20 septembre 2010
7 sept. 2010 à 10:51
j'ai fait désinstaller.
oui, je veux bien que tu verifies le reste du pc. merci pour ton aide.
nb: d'après toi, quel est le meilleur anti-spyware ? j'ai spybot (et antivir comme antivirus) mais ils n'ont rien vu ...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
7 sept. 2010 à 12:55
désinstalle spybot, il est inutile,
je t'indiquerai celui qui est mieux adapté à ta configuration après ceci :

l'antivirus ne voit pas tout, d'ou le faite de le combiner avec un parfeu d'autre que celui de windows et un antimalaware ;-)

le meilleur antivirus reste celui qui se trouve entre la chaise et le clavier ;-)


* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

je file bosser @ ++
0
damrub Messages postés 19 Date d'inscription mardi 17 avril 2001 Statut Membre Dernière intervention 20 septembre 2010
7 sept. 2010 à 14:16
voila c'est fait.
voici le lien:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijSbSDI4R.txt

a plus.
merci.
0
je n'ai pas de bonnes nouvelles ;-(

tu as une infection par support externe & un restant du bagle !!!

* Télécharge FindyKill sur le Bureau (Merci à l'équipe FYK) :
http://findykill.changelog.fr/Setup.exe
ou
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
* Double-cliquez sur FindyKill présent sur le Bureau.
* Choisis l'option F pour la langue
* Choisissez l'option 2.
* Laissez travailler l'outil.
* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).
* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
* Tuto : http://pagesperso-orange.fr/NosTools/index.html
Note : l'UAC de Vista ne gêne plus FindyKill.


* Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)

https://www.ionos.fr/?affiliate_id=77097

ou :

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

OU :

https://www.ionos.fr/?affiliate_id=77097


/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Usbfix située sur ton Bureau.
- Sur la page, clique sur le bouton :
« suppression »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.

- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\ UsbFix.txt
Note : A la fin de l'option nettoyage, il est recommandé de redémarrer le pc



O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
0
damrub Messages postés 19 Date d'inscription mardi 17 avril 2001 Statut Membre Dernière intervention 20 septembre 2010
7 sept. 2010 à 21:27
je lance findykill mais ça ne fonctionne pas. la fenetre s'ouvre, puis j'ai le curseur clignotant. j'ai attendu pendant une demi heure sans resultat. je n'ai pas le choix de la langue ou autre. j'ai essayé de redemarrer le pc, stopper le FW et l'antivirus mais pas mieux. j'ai essayé de recuperer findykill sur un autre lien, mais pas mieux. cela pose t'il problème si je lance usbfix en premier? sinon que faut-il faire ?
0
Utilisateur anonyme
8 sept. 2010 à 07:12
bonjour,
* Télécharger Rkill de Grinler sur le bureau,
fait double clic pour le lancer.
Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
tu commence par le premier Rkill EXE,si cela ne fonctionne tu passe au second Rkill COM ,ETC...

Rkill EXE: Rkill EXE:
https://download.bleepingcomputer.com/grinler/rkill.exe
ou :
Rkill COM: Rkill COM:
https://download.bleepingcomputer.com/grinler/rkill.com
ou :
Rkill SCR: Rkill RCS:
https://download.bleepingcomputer.com/grinler/rkill.scr



relance Findykill en option 2 directement, laisse travailler l'outil, ça prendra un certain de temps, donc pas de manique ;-)



je file bosser @ ++
0
damrub Messages postés 19 Date d'inscription mardi 17 avril 2001 Statut Membre Dernière intervention 20 septembre 2010
8 sept. 2010 à 08:15
bonjour,
c'est toujours pareil, j'ai lancé les rkill, puis re-essayé findykill à chaque fois, mais celui-ci reste toujours sur la page d'accueil avec un curseur clignotant. j'ai essayé les 3 rkill, sans resultat. apparement il n'y a rien dans les logs (ci-joint le dernier):

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as freddy on 08/09/2010 at 8:08:52.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Documents and Settings\freddy.DURON.001\Bureau\rkill.scr


Rkill completed on 08/09/2010 at 8:09:41.



j'ai relancé findykill, je vais le laisser tourner toute la matinée, on verra bien.
merci pour ton aide.
0
Utilisateur anonyme
8 sept. 2010 à 12:08
si tu vois que ça ne fonctionne pas, on trouve une autre solution,

en attendant, lance Usbfix en cliquand sur Suppression et poste son rapport :-)

@ ++
0
damrub Messages postés 19 Date d'inscription mardi 17 avril 2001 Statut Membre Dernière intervention 20 septembre 2010
8 sept. 2010 à 14:30
c'est fait.
voici le lien pour le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijTf4beDF.txt

par contre il m'a crée un fichier zip de 37MO. faut-il le poster aussi ?

j'ai retenté findykill, mais pas mieux.
bonne journée.
0
Utilisateur anonyme
8 sept. 2010 à 15:46
ce fichier correspond à ceci,
envoie ce fichier, ceci permet d'améliorer usbfix :

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_DURON.zip
https://www.ionos.fr/?affiliate_id=77097


Merci de ta contribution.


* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux!



► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :

► ferme les fenêtres de tous les programmes en cours.

► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


0
damrub Messages postés 19 Date d'inscription mardi 17 avril 2001 Statut Membre Dernière intervention 20 septembre 2010
10 sept. 2010 à 00:22
bonjour,
j'ai lancé combofix, il s'est mis à jour, mais il reste bloqué à l'etape 50 avec un curseur clignotant. j'ai laissé tourner pendant 3 heures mais il reste figé. j'ai redémarré le pc et j'ai refait une tentative mais idem, à l'etape 50.
0
Utilisateur anonyme
10 sept. 2010 à 13:27
bonjour,
redemarre ton pc en mode sans echec avec la prise en charge du réseau, puis lance Combofix
0
damrub Messages postés 19 Date d'inscription mardi 17 avril 2001 Statut Membre Dernière intervention 20 septembre 2010
10 sept. 2010 à 15:09
ça a marché.
voici le lien pour les logs.

http://www.cijoint.fr/cjlink.php?file=cj201009/cijNmd9ext.txt
0
Utilisateur anonyme
10 sept. 2010 à 15:13
essaie de lancer Findykill en option 2 et poste son rapport
0
damrub Messages postés 19 Date d'inscription mardi 17 avril 2001 Statut Membre Dernière intervention 20 septembre 2010
10 sept. 2010 à 19:59
au début ça n'a pas marché (bloqué sur curseur clignotant). j'ai redemarré en mode sans echec avec reseau et je l'ai relancé: là j'ai pu lancer l'option 2.
voici le rapport:

############################## | FindyKill V5.050 |

# User : freddy (Administrateurs) # DURON
# Update on 03/09/2010 by El Desaparecido
# Start at: 15:47:39 | 10/09/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 2800+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# C:\ # Disque fixe local # 29,3 Go (8,59 Go free) [Disque local] # NTFS
# D:\ # Disque fixe local # 37,27 Go (18,2 Go free) # NTFS
# E:\ # Disque fixe local # 27,95 Go (13,91 Go free) # FAT32
# H:\ # Disque CD-ROM
# I:\ # Disque CD-ROM
# K:\ # Disque fixe local # 302,73 Go (127,28 Go free) # NTFS
# L:\ # Disque fixe local # 163,03 Go (77,4 Go free) # NTFS

################## | Eléments infectieux |


################## | CRC32 ... |
0
Utilisateur anonyme
10 sept. 2010 à 21:15
le rapport n'est pas complet, ou tu l'as mal copié, ou FYK n'a pas términé son scan correctement.

regarde, normalement le rapport se finit par --- EOF---

@ ++
0
damrub Messages postés 19 Date d'inscription mardi 17 avril 2001 Statut Membre Dernière intervention 20 septembre 2010
10 sept. 2010 à 23:35
je l'ai relancé, mais idem, obligé de le lancer en mode sans echec. les logs sont les mêmes. apparemment il ne va pas au bout du scan, car le rapport est daté de 21h04 alors qu'à 23h il continuait à scanner. je n'ai pas vu la fenêtre se fermer (je ne suis pas resté devant l'ecran, il met plus de 2h30 pour scanner).
0