Infection eorezo

Fermé
titi - 28 mars 2011 à 09:13
 titi - 30 mars 2011 à 18:47
Bonjour, je voudrais savoir quel sont les retombée ou effet indesirable de ce trojan ?
d ou vient il ?
merci d avance



23 réponses

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
28 mars 2011 à 09:14
bonjour

tu as des pubs en pagaille

est ce ton cas ?
0
bonjour ,oui j arrete pas de gagner lol
0
mais je ne clic jamais pour voir mon prix ;)
0
on choppe ce truc ou en général ??
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
28 mars 2011 à 09:22
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
0
ok , merci on choppe ce truc ou en général ??
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
28 mars 2011 à 09:30
en général, lors de l'installation d'utilitaire

https://forum.malekal.com/viewtopic.php?t=18245&start=
0
merci , voici le rapport
======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 09:26:50 le 28/03/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X64)
redge@PC-DE-EGDER (Packard Bell IMEDIA X3560 FR)

============== RECHERCHE ==============


Dossier trouvé: C:\Users\redge\AppData\Roaming\Mozilla\FireFox\Profiles\qth8f2wo.default\conduit
Dossier trouvé: C:\Users\redge\AppData\LocalLow\Conduit
Dossier trouvé: C:\Program Files (x86)\Conduit
Fichier trouvé: C:\Users\redge\Downloads\PartyPokerFrSetup.exe

-- Fichier ouvert: C:\Users\redge\AppData\Roaming\Mozilla\FireFox\Profiles\qth8f2wo.default\Prefs.js --
Ligne trouvée: user_pref("CT2613520.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_...
Ligne trouvée: user_pref("CT2613520.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT261...
Ligne trouvée: user_pref("CT2613520.ct2613520.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=U...
Ligne trouvée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr...
Ligne trouvée: user_pref("CommunityToolbar.ToolbarsList", "CT2613520");
Ligne trouvée: user_pref("CommunityToolbar.ToolbarsList2", "CT2613520");
Ligne trouvée: user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Mon Mar 21 2011 15:19:22 GMT+0100");
-- Fichier Fermé --


Clé trouvée: HKLM\Software\Conduit
Clé trouvée: HKCU\Software\AppDataLow\Software\Conduit


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [4.0 (fr)] ****

HKLM_MozillaPlugins\@checkpoint.com/FFApi (x)
HKLM_MozillaPlugins\@nvidia.com/3DVision (x)
HKLM_MozillaPlugins\@nvidia.com/3DVisionStreaming (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Users\redge\AppData\Roaming\Mozilla\FireFox\Profiles\qth8f2wo.default --
Prefs.js - browser.startup.homepage_override.buildID, 20110318052756
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0

========================================

**** Internet Explorer Version [8.0.6001.19019] ****

HKCU_Main|Default_Page_URL - hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=1&o=vp64&d=0311&m=imedia_x3560_fr
HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKCU_Main|Start Page - hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=1&o=vp64&d=0311&m=imedia_x3560_fr
HKLM_Main|Default_Page_URL - hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=1&o=vp64&d=0311&m=imedia_x3560_fr
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=1&o=vp64&d=0311&m=imedia_x3560_fr
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_Extensions\{725EC34E-943C-4df6-B0B2-FBDE7F242276} - "PartyPoker.fr" (C:\Programs\PartyFrance\PartyPokerFr\Images\ppicon.ico)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 28/03/2011 09:30:32 (3496 Octet(s))

Fin à: 09:31:12, 28/03/2011

============== E.O.F ==============
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
28 mars 2011 à 09:36
tu t'es trompé d'option

1)

relances ad remover
option nettoyage
poste le rapport

______

2)

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)


Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

0
ceci dit il est en quarantaine dans malware byte
ils sont deux et j ai relancer mon antivirus
0
je n ai fait aucune suppression !!
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
28 mars 2011 à 09:39
0
pardon
j y retourne
0
impossible de le retrouver , le rapport . de plus dans mon menu démarrer je n ai plus la commande executer et l outil de rechercher cherche mais ne trouve que des resultats qui n ont rien a voir avec ma recherche !?!?!
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
28 mars 2011 à 10:28
=> ZHP
0
je me suis perdus un peux oups.
moment de grace il faut que je dise que ca fait un bail que j ai fait des nettoyages sans succes ,
pour tout dire la semaine derniere j ai utiliser l outil packard bell pour remettre mon pc a zero car je n arrivait plus a ouvrir un max de dossiers par ailleur il y as eu des ameliorations ceci dit deux jour apres c etait repartis comme en 40 (là j ai plus la commande executer dans le menu demarrer par exemple ). si ce serrait possible est il possible de regarder si mon bios est intègre .
ma messagerie orange est pirater et orange me dit que ca vient de mon pc (c est confirmer par eux ) .
en fait tout est rediriger donc meme les reponses que je recois par mail sont elles memes filtrer .
mon soucis pour le resoudre il me semble serrait de comprendre comment ils ont fait et de changer tout mes codes changer mon adresse mail et formater .
mais si mon bios a ete configurer de maniere bizarre est ce que le formatage pourrait mal se passer merci ?
de m aider dans ce sens car toutes les analyses sont tronquer notamment quand je suis connecter .je sais déja le resultat de ma journee a nettoyer ce serras l ordinateur est propre et mon soucis serras toujours là ou remis au lendemain c est pas une infection banal mais un piratage diriger par une personne malveillante stp sort moi de cette impasse .
0
demande moi tout les renseignement qu il te faut je te les donnes c est comme si je viens sur ton pc et je fait tout les reglages pour t espionner h 24 stp un coup de mains je suis trop mauvais en info pour trouver ces fichu fichiers qui me pourrissent la vie et les outil de desinfections vont les prendres comme des fichiers legitime là je suis sur une nuit blanche et je sait pas quoi faire et c est sur qu un pro qui prendrait mon pc en mains s en sortirais mieux que moi
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
28 mars 2011 à 13:19
sans rapport je ne peux rien faire...

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)


Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

0
je viens de me reveiller desolé donc j ai essayer de telecharger zhp diag de chez zebulon mon pc bloque le telechargement et me redirige vers avg .
pour le liens ccm je suis rediriger vers www premium orange le telechargement marche
bon ca marche
voici le rapport zhpdiag
Les fichiers avec l'extension ne peuvent pas être uploadés
reponse malekal
j essaie copier coller
0
voici le liens http://pjjoint.malekal.com/files.php?read=h13r7u11j14r5l13r12f612
0
je fais le ad
0
bon pour le rapport ad introuvable
car l outil redemarre mon pc
ceci dit j ai eu ce message voici la capture
http://pjjoint.malekal.com/files.php?id=31d288cc3611119
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
28 mars 2011 à 17:37
ok

1)

supprime ce dossier C:\\Program

2)

Copie tout le texte présent [b]en gras[/b] ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O44 - LFC:[MD5.F3B25701FE362EC84616A93A45CE9998] - 18/03/2011 - 19:51:01 ---A- . (...) -- C:\Windows\dd_dotnetfx35error_lp.txt [2]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
O44 - LFC:[MD5.F3B25701FE362EC84616A93A45CE9998] - [MD5.F3B25701FE362EC84616A93A45CE9998] - 18/03/2011 - 19:51:01 ---A- . (...) -- C:\Windows\dd_dotnetfx35error_lp.txt [2]
O44 - LFC:[MD5.F3B25701FE362EC84616A93A45CE9998] - 18/03/2011 - 19:51:01 ---A- . (...) -- C:\Windows\dd_dotnetfx35error_lp.txt [2]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
O44 - LFC:[MD5.F3B25701FE362EC84616A93A45CE9998] - 18/03/2011 - 19:51:01 ---A- . (...) -- C:\\Windows\\dd_dotnetfx35error_lp.txt [2]
O44 - LFC:[MD5.F3B25701FE362EC84616A93A45CE9998] - [MD5.F3B25701FE362EC84616A93A45CE9998] - 18/03/2011 - 19:51:01 ---A- . (...) -- C:\\Windows\\dd_dotnetfx35error_lp.txt [2]
O44 - LFC:[MD5.F3B25701FE362EC84616A93A45CE9998] - 18/03/2011 - 19:51:01 ---A- . (...) -- C:\\Windows\\dd_dotnetfx35error_lp.txt [2]


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

____________

3)

redemarre le pc et dis moi si tu as encore des soucis
0
merci , moment de grace
mais j arrive pas a faire des recherches
la commande executer n est pas dans le menu demarrer et a tu regarder le screen shoot j ai pas les droits pour acceder a ce fichier, quand je clic pour modifier .
comment dois je faire pour l etape un ?
merci de m aiguiller car là je seche meme en cherchant sur ordinateur j ai pas les droits et le moteur de recherche là aussi ne trouve jamais rien une petite indication meme la restauration systeme ne marche pas ...
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
28 mars 2011 à 18:22
pour le 1 tu le supprime manuellement

__________

* Télécharge sur le bureau RogueKiller (par tigzy)
http://www.geekstogo.com/forum/files/file/413-roguekiller/


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide

* puis l'option 6
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com




0
bon ca as marcher sans renommer , par contre dans demarage de rogue kill il y avait marquer tentative de detournement et je l ai fait hors ligne voici le rapport un que j ai fait deux fois svp j aimerais des expliquations sur le resultat merci encore voila le rapport un suivis du deux :
RogueKiller V4.3.4 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: redge [Droits d'admin]
Mode: Recherche -- Date : 28/03/2011 18:44:30

Processus malicieux: 0

Entrees de registre: 0

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

deux:
RogueKiller V4.3.4 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: redge [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 28/03/2011 18:48:41

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 1 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 16 / Fail 0
Mes documents: Success 3 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 62 / Fail 0

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
28 mars 2011 à 19:00
poste moi tous les rapports roguekiller
0
alors , j ai document and setting ou je n ai pas les droit d acces il faudrait que je modifie les autorisations ce que je ne sait pas configurer en fait .
et C:// JE NE TROUVE PAS PAR AILLEUR OUPS c est quand meme pas commun ce double slash il me semble .
merci
0
dans ProgramData J AI PAS DE DOSSIER DONT JE N AI PAS LE DROIT D ACCES
meme soucis que avant d avoir fait recovery manager qui remet le pc presque sortis d usine sauf si l infection est plus "profonde "
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
28 mars 2011 à 19:15
les rapports sont sur le bureau à côté de l'outil
0
j ai poster ils sont au dessus rogue killer ????
0
ceci dit j ai vu qu il y as plein de traces de norton encore que pourtant j ai supprimer grace a leur outil de desinstallation ?? j aimerais virer msn et tout ce qui m est inutile par contre
merci je reprend ou dans rogue c est fait
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
28 mars 2011 à 19:26
Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

(clic droit sur le lien ...enregistrer la cible du lien sous )

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt



0
bonjour , ca va j espere car moi pas lol
pourrait tu regarder ce screen shoot stp voici le liens
http://www.cijoint.fr/cjlink.php?file=cj201103/cijFXOdKu7.jpg
donc moi apres reflexion je me dit que je suis pas admin de mon pc et donc je ne peux trouver c://program car c est dans la partie admin qu il doit etre stocker
et j ai essayer de modifier les autorisation pour acceder a plein de fichiers mais on me refuse les modifs
merci de jeter un oeil car c est bizarre
0