pc infecté par eoreso et lo.st Résolu/Fermé

Question

Bonjour, 



Configuration: Windows XP / Firefox 3.6.8

salut la liste,
mon pc est infecté par des malware/spyware que je n'arrive pas à nettoyer avec spybot.
voici les logs fournit par Adremove et stfix.
merci d'avance pour votre aide.


======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 03/09/10 à 23:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 13:08:00 le 06/09/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
freddy@DURON ( ) 
 
============== RECHERCHE ==============


0,Dossier trouvé: C:\Documents and Settings\freddy.DURON.001\Application Data\DesktopIcon
0,Dossier trouvé: C:\Documents and Settings\freddy.DURON.001\Application Data\EoRezo

-- Fichier ouvert: C:\Documents and Settings\freddy.DURON.001\Application Data\Mozilla\FireFox\Profiles\x4t7rbh5.default\Prefs.js --
Ligne trouvée: user_pref("extensions.snipit.askTbInstalled", true); 
-- Fichier Fermé --
 

0,Clé trouvée: HKLM\Software\AskBarDis
0,Clé trouvée: HKLM\Software\EoRezo
0,Clé trouvée: HKLM\Software\PopCap
0,Clé trouvée: HKCU\Software\EoRezo
0,Clé trouvée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Eorezo
0,Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Softwarehelper


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\freddy.DURON.001\Application Data\Mozilla\FireFox\Profiles\x4t7rbh5.default\Prefs.js --
browser.download.dir, D:\blagues\raymond
browser.download.lastDir, D:\Celine\image\musique
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [7.0.5730.13] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://www.lo.st

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://home.sweetim.com

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 06/09/2010 (1242 Octet(s)) 

Fin à: 13:16:18, 06/09/2010 
 
============== E.O.F ============== 






########################################################################
#
# ST_Fix v.2.05 par Batch_Man
# Mise à jour le 06/08/2009
# Début a 13:46 le 06/09/2010
# Système d'exploitation: Microsoft Windows XP 
# Service Pack: Service Pack 3 
# Mode de boot: Normal 
# Lancé de D:\sauvegarde\ST_Fix.bat
#
################################ Suppression ###############################
#
# REMPLACEMENT - HKLM\..\Main,Start Page: http://www.lo.st --> 3.0
# REMPLACEMENT - HKLM\..\Main,Start Page: http://www.lo.st --> https://home.sweetim.com/
# REMPLACEMENT - HKCU\..\Main,Start Page: http://www.lo.st --> 3.0
# REMPLACEMENT - HKCU\..\Main,Start Page: http://www.lo.st --> https://www.msn.com/fr-fr/
# SUPPRIMÉ - HKEY_USERS\S-1-5-21-1177238915-412668190-839522115-1004\Software\EoRezo
# SUPPRIMÉ - HKLM\SOFTWARE\EoRezo
# SUPPRIMÉ - HKCU\SOFTWARE\EoRezo
# SUPPRIMÉ - HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
# SUPPRIMÉ - HKLM\Software\Microsoft\Windows\CurrentVersion\Run,SoftwareHelper
# NON SUPPRIMÉ - C:\Documents and Settings\freddy.DURON.001\Application Data\EoRezo
#
################################## Terminé ################################

Utilisateur anonyme · Answer

bonjour, 
STFIX étant un peu dépassé, relance ADR, clique sur Nettoyer, poste le rapport d'ADR 
O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

damrub · Answer

voici le rapport après nettoyage:

======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 03/09/10 à 23:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:38:13 le 06/09/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
freddy@DURON ( ) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Documents and Settings\freddy.DURON.001\Application Data\DesktopIcon
0,Dossier supprimé: C:\Documents and Settings\freddy.DURON.001\Application Data\EoRezo

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\freddy.DURON.001\Application Data\Mozilla\FireFox\Profiles\x4t7rbh5.default\Prefs.js --
Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true); 
-- Fichier Fermé --
 

0,Clé supprimée: HKLM\Software\AskBarDis
0,Clé supprimée: HKLM\Software\PopCap
0,Clé supprimée: HKCU\Software\EoRezo
0,Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Eorezo

0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Softwarehelper


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\freddy.DURON.001\Application Data\Mozilla\FireFox\Profiles\x4t7rbh5.default\Prefs.js --
browser.download.dir, D:\blagues\raymond
browser.download.lastDir, D:\Celine\image\musique
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [7.0.5730.13] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 06/09/2010 (881 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 06/09/2010 (2798 Octet(s)) 

Fin à: 23:43:57, 06/09/2010 
 
============== E.O.F ============== 


merci pour ton aide.

Utilisateur anonyme · Answer

bonjour,

lance ADR, clique sur désinstaller

veux tu que je vérifie le reste du pc ?

@++

damrub · Answer

j'ai fait désinstaller.
oui, je veux bien que tu verifies le reste du pc. merci pour ton aide.
nb: d'après toi, quel est le meilleur anti-spyware ? j'ai spybot (et antivir comme antivirus) mais ils n'ont rien vu ...

Utilisateur anonyme · Answer

désinstalle spybot, il est inutile,
 je t'indiquerai celui qui est mieux adapté à ta configuration après ceci :

l'antivirus ne voit pas tout, d'ou le faite de le combiner avec un parfeu d'autre que celui de windows et un antimalaware  ;-)

le meilleur antivirus reste celui qui se trouve entre la chaise et le clavier  ;-)


* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

je file bosser @ ++

damrub · Answer

voila c'est fait. 
voici le lien:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijSbSDI4R.txt

a plus.
merci.

Utilisateur anonyme · Answer

je n'ai pas de bonnes nouvelles ;-( 

tu as une infection par support externe & un restant du bagle  !!! 

* Télécharge FindyKill sur le Bureau (Merci à l'équipe FYK) :  
http://findykill.changelog.fr/Setup.exe  
ou  
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe 
* Double-cliquez sur FindyKill présent sur le Bureau.  
* Choisis l'option F pour la langue 
* Choisissez l'option 2. 
* Laissez travailler l'outil.  
* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider). 
* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt). 

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)  
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  
* Tuto : http://pagesperso-orange.fr/NosTools/index.html 
Note : l'UAC de Vista ne gêne plus FindyKill.


*	Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)

https://www.ionos.fr/?affiliate_id=77097

ou :

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe 
	
	OU :

	https://www.ionos.fr/?affiliate_id=77097


/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Usbfix située sur ton Bureau. 
- Sur la page, clique sur le bouton :
« suppression »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.

- Poste le rapport qui apparaît à la fin. 
le rapport se trouve sur C:\ UsbFix.txt
Note : A la fin de l'option nettoyage, il est recommandé de redémarrer le pc

 

O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

damrub · Answer

je lance findykill mais ça ne fonctionne pas. la fenetre s'ouvre, puis j'ai le curseur clignotant. j'ai attendu pendant une demi heure sans resultat. je n'ai pas le choix de la langue ou autre. j'ai essayé de redemarrer le pc, stopper le FW et l'antivirus mais pas mieux. j'ai essayé de recuperer findykill sur un autre lien, mais pas mieux. cela pose t'il problème si je lance usbfix en premier? sinon que faut-il faire ?

Utilisateur anonyme · Answer

bonjour,
*	Télécharger Rkill de Grinler sur le bureau,
fait double clic pour le lancer.
Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
tu commence par le premier Rkill EXE,si cela ne fonctionne tu passe au second Rkill COM ,ETC...

Rkill EXE: Rkill EXE: 
https://download.bleepingcomputer.com/grinler/rkill.exe 
ou :
Rkill COM: Rkill COM: 
https://download.bleepingcomputer.com/grinler/rkill.com 
ou :
Rkill SCR: Rkill RCS: 
https://download.bleepingcomputer.com/grinler/rkill.scr 



relance Findykill en option 2 directement, laisse travailler l'outil, ça prendra un certain de temps, donc pas de manique  ;-)



je file bosser  @ ++

damrub · Answer

bonjour,
c'est toujours pareil, j'ai lancé les rkill, puis re-essayé findykill à chaque fois, mais celui-ci reste toujours sur la page d'accueil avec un curseur clignotant. j'ai essayé les 3 rkill, sans resultat. apparement il n'y a rien dans les logs (ci-joint le dernier):

This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 
Ran as freddy on 08/09/2010 at  8:08:52. 


Services Stopped:


Processes terminated by Rkill or while it was running: 


C:\Documents and Settings\freddy.DURON.001\Bureau\rkill.scr


Rkill completed on 08/09/2010  at  8:09:41. 



j'ai relancé findykill, je vais le laisser tourner toute la matinée, on verra bien.
merci pour ton aide.

Utilisateur anonyme · Answer

si tu vois que ça ne fonctionne pas, on trouve une autre solution,

en attendant, lance Usbfix en cliquand sur Suppression et poste son rapport  :-)

@ ++

damrub · Answer

c'est fait. 
voici le lien pour le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijTf4beDF.txt

par contre il m'a crée un fichier zip de 37MO. faut-il le poster aussi ?

j'ai retenté findykill, mais pas mieux.
bonne journée.

Utilisateur anonyme · Answer

ce fichier correspond à ceci,
envoie ce fichier, ceci permet d'améliorer usbfix :

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_DURON.zip
https://www.ionos.fr/?affiliate_id=77097

Merci de ta contribution.


*	/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 


&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

damrub · Answer

bonjour,
j'ai lancé combofix, il s'est mis à jour, mais il reste bloqué à l'etape 50 avec un curseur clignotant. j'ai laissé tourner pendant 3 heures mais il reste figé. j'ai redémarré le pc et j'ai refait une tentative mais idem, à l'etape 50.

Utilisateur anonyme · Answer

bonjour,
redemarre ton pc en mode sans echec avec la prise en charge du réseau, puis lance Combofix

damrub · Answer

ça a marché.
voici le lien pour les logs.

http://www.cijoint.fr/cjlink.php?file=cj201009/cijNmd9ext.txt

Utilisateur anonyme · Answer

essaie de lancer Findykill en option 2 et poste son rapport

damrub · Answer

au début ça n'a pas marché (bloqué sur curseur clignotant). j'ai redemarré en mode sans echec avec reseau et je l'ai relancé: là j'ai pu lancer l'option 2.
voici le rapport:

############################## | FindyKill V5.050 |

# User : freddy (Administrateurs) # DURON
# Update on 03/09/2010 by El Desaparecido
# Start at: 15:47:39 | 10/09/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 2800+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# C:\ # Disque fixe local # 29,3 Go (8,59 Go free) [Disque local] # NTFS
# D:\ # Disque fixe local # 37,27 Go (18,2 Go free) # NTFS
# E:\ # Disque fixe local # 27,95 Go (13,91 Go free) # FAT32
# H:\ # Disque CD-ROM
# I:\ # Disque CD-ROM
# K:\ # Disque fixe local # 302,73 Go (127,28 Go free) # NTFS
# L:\ # Disque fixe local # 163,03 Go (77,4 Go free) # NTFS

################## | Eléments infectieux |


################## | CRC32 ... |

Utilisateur anonyme · Answer

le rapport n'est pas complet, ou tu l'as mal copié, ou FYK n'a pas términé son scan correctement.

regarde, normalement le rapport se finit par --- EOF---

@ ++

damrub · Answer

je l'ai relancé, mais idem, obligé de le lancer en mode sans echec. les logs sont les mêmes. apparemment il ne va pas au bout du scan, car le rapport est daté de 21h04 alors qu'à 23h il continuait à scanner. je n'ai pas vu la fenêtre se fermer (je ne suis pas resté devant l'ecran, il met plus de 2h30 pour scanner).

Utilisateur anonyme · Answer

bonjour,
as t il fini le scan entièrement ?

si non, arête le scan, 

redemarre ton pc en mode normal, 

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

ou ici : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

damrub · Answer

je l'ai lancé mais au bout de 2mn30 il reste bloqué sur le scan de c:\st_fix\st_fix-1.txt. je l'ai arrêté et relancé mais ça fait pareil. je l'ai laissé tourner pendant 3 heures mais ça n'a pas l'air d'avancer. faut-il que j'essaye en mode sans echec ?
bon week-end.

Utilisateur anonyme · Answer

désinstalle Stfix, puis relance ADR, si ça ne passe pas, lance MBAM, tous les détails sont notés sur mon précedant message  :-)

damrub · Answer

j'ai désinstallé stfix et relancé ADR, mais il n'ya  rien de particulier dans les logs (au cas où, je peux les poster) . j'ai refait une mise à jour de MBAM mais toujours le même problème, il se fige au bout d'un moment. j'ai essayé de le lancer en mode sans echec, il tourne un peu plus longtemps, mais au bout d'un moment il se fige quand même. cela servirait-il à quelque chose si je refaisait un diagnostique avec ZHPdiag ?

Utilisateur anonyme · Answer

bonjour,
désisntalle MBAM, retélecharge le depuis ce lien, fais une mise à jour et lance un scan rapide :

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

ou ici : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

damrub · Answer

c'est fait. le scan rapide ne trouve rien. j'ai redemarré en mode sans echec avec reseau, et j'ai fait un scan complet, et là ça a fonctionné. il m'a trouvé 6 infections.
voici les logs:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4606

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.13

13/09/2010 16:45:35
mbam-log-2010-09-13 (16-45-35).txt

Scan type: Full scan (C:\|D:\|E:\|K:\|L:\|)
Objects scanned: 393032
Time elapsed: 1 hour(s), 48 minute(s), 15 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 6

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\System Volume Information\_restore{3B3FC30A-54BE-4799-987A-DDD12F96B566}\RP855\A0239129.exe (Rogue.Eorezo) -> No action taken.
C:\System Volume Information\_restore{3B3FC30A-54BE-4799-987A-DDD12F96B566}\RP855\A0239203.exe (Adware.ADON) -> No action taken.
C:\System Volume Information\_restore{3B3FC30A-54BE-4799-987A-DDD12F96B566}\RP855\A0239204.exe (Rogue.Eorezo) -> No action taken.
D:\sauvegarde\DVD X Player Pro v5.3 Portable\DVD X Player v5.3 Pro Portable.exe (Trojan.FakeAlert) -> No action taken.
D:\sauvegarde\Newsleecher 3.9.5 + FFF Keygen\KeyGen.exe (Trojan.Dropper.PGen) -> No action taken.
K:\sauvegarde_audio\Celemony.Melodyne.Studio.Edition.v3.1.1.2.incl.Keygen-AiR\Keygen.exe (RiskWare.Tool.CK) -> No action taken.


j'ai fait supprimer et il a redemarré.

Utilisateur anonyme · Answer

redemarre ton pc en mode normal, puis relance ADRemover en cliquant sur Nettoyer  :-)

damrub · Answer

c'est bizarre, mon prècedent message n'a pas été enregistré. j'ai relancé ADr, apparement il n'y a rien:

======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 01/09/10 à 16:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 21:34:04 le 13/09/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
freddy@DURON ( ) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.



============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.9 (fr)] **

-- C:\Documents and Settings\freddy.DURON.001\Application Data\Mozilla\FireFox\Profiles\x4t7rbh5.default\Prefs.js --
browser.download.dir, D:\blagues\raymond
browser.download.lastDir, D:\sauvegarde
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.9

========================================

** Internet Explorer Version [7.0.5730.13] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 26 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 12/09/2010 (2305 Octet(s)) 
C:\Ad-Report-CLEAN[2].txt - 13/09/2010 (494 Octet(s)) 

Fin à: 21:41:26, 13/09/2010 
 
============== E.O.F ============== 





j'ai essayé de relancé ZHdiag par curiosité, je l'ai mis à jour, mais il ne vas pas plus loin que 73% du scan, et me mets un defaut de mbr. idem en mode sans echec. peut-être que le problème vient de la dernière version ?

Utilisateur anonyme · Answer

bonjour, 

relance ADR, clique sur désinstaller 


Télécharge mbr.exe de Gmer ici : 
http://www2.gmer.net/mbr/mbr.exe 
et enregistre le fichier sur le Bureau. 


Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
Double clique sur mbr.exe
Un rapport sera généré : mbr.log 
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 

Si c'est le cas, continue comme ça : 

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f 
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 

Réactive tes protections 
Poste ce rapport et supprimes-le ensuite. 

Pour vérifier 

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
Relance mbr.exe 

Réactive tes protections. 

Le nouveau mbr.log devrait être celui-ci : 

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net 
device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK 

 Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira. 




désinstalle ZHPDIAG : 

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau. 

Clique sur le A rouge (Nettoyeur de Tools). 

Clique sur Nettoyer. 

Fais redémarrer l'ordi pour terminer le nettoyage. 


puis retélécharge le, repasse un log, enregiste son rapport sur ton bureau, héberge le sur un site come Cijoint ou Toofiles.com, puis copie et colle le lien ici  :-) 
O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

damrub · Answer

mbr.exe m'indique que tout est ok. j'ai désinstallé/ re-installé zhpdiag mais c'est la même chose, il m'indique un problème de mbr et si je fait continuer, il arrête à 73%.
je te joins le log qu'il me crée:

http://www.cijoint.fr/cjlink.php?file=cj201009/cij5vXedTV.txt.

il faudrait peut-etre que je re-installe le service pack 3, non ?

par curiosité j'ai relancé MBAM en mode sans echec (en mode normal il plante), il ne me trouve plus de malware ... c'est déjà ça :-)

Utilisateur anonyme · Answer

bonsoir, 

pour supprimer les tools de désinsfection : 

http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe 
lance le en option 2
poste son rapport 
O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

damrub · Answer

voilà le rapport:

apport DelFix v3.6 
Mis à jour le 16/09/10 à 17h par Xplode 
Lancé le 17/09/2010 à 18h29 et 47 seconde(s) 
Utilisateur : freddy - DURON 
Système d'exploitation : Windows XP - 32 bits 
Internet Explorer : v7.0.5730.13 
Mode de démarrage : Normal  
Option [Suppression] 
  
~~~~~~ C:\ ~~~~~~ 
 
Dossier Supprimé : C:\Qoobox 
Dossier Supprimé : C:\FyK 
Fichier Supprimé : C:\ComboFix.txt 
Fichier Supprimé : C:\FyK.txt 
 
~~~~~~ C:\WINDOWS ~~~~~~ 
 
Dossier Supprimé : C:\WINDOWS\ERDNT 
Fichier Supprimé : C:\WINDOWS\grep.exe 
Fichier Supprimé : C:\WINDOWS\PEV.exe 
Fichier Supprimé : C:\WINDOWS\NIRCMD.exe 
Fichier Supprimé : C:\WINDOWS\MBR.exe 
Fichier Supprimé : C:\WINDOWS\sed.exe 
Fichier Supprimé : C:\WINDOWS\SWREG.exe 
Fichier Supprimé : C:\WINDOWS\SWSC.exe 
Fichier Supprimé : C:\WINDOWS\SWXCACLS.exe 
Fichier Supprimé : C:\WINDOWS\zip.exe 
 
~~~~~~ C:\WINDOWS\System32 ~~~~~~ 
 
 
~~~~~~ C:\Program Files ~~~~~~ 
 
Dossier Supprimé : C:\Program Files\ZHPDiag 
 
~~~~~~ C:\Documents and Settings\freddy.DURON.001 ~~~~~~ 
 
 
~~~~~~ C:\Documents and Settings\freddy.DURON.001\Bureau ~~~~~~ 
 
Fichier Supprimé : C:\Documents and Settings\freddy.DURON.001\Bureau\ComboFix.exe 
Fichier Supprimé : C:\Documents and Settings\freddy.DURON.001\Bureau\mbr.exe 
Fichier Supprimé : C:\Documents and Settings\freddy.DURON.001\Bureau\MBRCheck_09.16.10_16.50.45.txt 
 
~~~~~~ C:\Documents and Settings\All Users.WINDOWS\Bureau ~~~~~~ 
 
Fichier Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\ZHPDiag.lnk 
Fichier Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\ZHPFix.lnk 
 
~~~~~~ C:\Documents and Settings\All Users.WINDOWS\Menu démarrer\Programmes ~~~~~~ 
 
 
~~~~~~ C:\Documents and Settings\freddy.DURON.001\Mes documents\Téléchargements ~~~~~~ 
 
 
~~~~~~ Registre ~~~~~~ 
 
Clé Supprimée : HKLM\Software\swearware 
Clé Supprimée : HKLM\Software\TrendMicro 
Clé Supprimée : HKCU\SOFTWARE\USBFix 
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix 
 
########## EOF - "C:\DelFixSuppr.txt" - [2071 octets] ##########

Utilisateur anonyme · Answer

fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du ésultat  :-)

@++

damrub · Answer

j'ai lancé l'antivirus, mais il se bloque à 73% du scan ... finallement je l'ai relancé en mode sans echec, il a fait un scan complet et m'a trouvé 2 ou 3 merdes dans des archives, que j'ai effacées. bizarre qu'il se plante en mode normal, tout comme MBAM ou combofix, et que je doive les lancer en mode sans echec. je me demande si je ne devrais pas reinstaller le sp3, ou cas ou il y aurait des fichiers corrompus... qu'en penses tu ?
nb: tu ne m'as pas dit quel etait d'après toi le meilleur anti-spyware :-)

Utilisateur anonyme · Answer

bonjour,
le meilleur Antispyware du moment reste MBAM, bienentendu, il faut faire une mise à jou avant de le lancer.

pour la réinstallation de sp3, pourquoi pas  :-)

à toi de voir.

pour ce qui est la désinfection, c'est términé  ;-)

damrub · Answer

belle bagarre :-)
encore merci à toi.
bonne journée.

Utilisateur anonyme · Answer

bon surf ;-)

Pc infecté par eoreso et lo.st

37 réponses