pc infecté Fermé

Question

Bonjour, 
depuis plusieurs jours mon pc rame,redémarre,plante,donc j'ai décidé de via vos astuces de passer malwarebytes'antimalware et beurk c'est infecté.
voici le rapport:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8175

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

16/11/2011 14:55:22
mbam-log-2011-11-16 (14-55-22).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 212522
Temps écoulé: 3 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 6
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\program files\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\EoRezo\EoAdv (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\EoRezo\EoAdv	mp (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\Users\Stephane\AppData\Roaming\EoRezo (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\Users\Stephane\AppData\Roaming\EoRezo\db (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\Users\Stephane\AppData\Roaming\EoRezo\eodesktop (Adware.EoRezo) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\program files\EoRezo\EoAdv\eoAdv.url (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\EoRezo\EoAdv\eorezobho.old (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\EoRezo\EoAdv	mp\eorezobho.dll.1056 (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\Users\Stephane\AppData\Roaming\EoRezo\cache (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\Users\Stephane\AppData\Roaming\EoRezo\cmhost.cyp (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\Users\Stephane\AppData\Roaming\EoRezo\confmedia.cyp (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\Users\Stephane\AppData\Roaming\EoRezo\host.cyp (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\Users\Stephane\AppData\Roaming\EoRezo\user.cyp (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\Users\Stephane\AppData\Roaming\EoRezo\db\cat.cyp (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\Users\Stephane\AppData\Roaming\EoRezo\eodesktop\config.xml (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\Users\Stephane\AppData\Roaming\EoRezo\eodesktop\eodesktop.html (Adware.EoRezo) -> Quarantined and deleted successfully.
c:\Users\Stephane\AppData\Roaming\EoRezo\eodesktop\userconfig.xml (Adware.EoRezo) -> Quarantined and deleted successfully.
que dois je faire ??
d'avance merci.
sté.


Configuration: Windows Vista / Firefox 7.0.1

moment de grace · Answer

bonjour 

fais ceci stp 

1) 

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.  

http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner  

Lance le, clique sur SUPPRESSION puis patiente le temps du scan.  
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleane.txt   


.................. 

2) 

Télécharge ZHPDiag ( de Nicolas coolman ).    
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html    

   
(outil de diagnostic)   

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )   
    
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista/Seven )    

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.    

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.    

Rend toi sur http://pjjoint.malekal.com/   

Clique sur "Parcourir "    

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau    

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message   

* Tuto zhpdiag :  
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

gabado · Answer

bonjour et merci à toi de répondre aussi rapidement.
voici le rapport de zph diag:
http://pjjoint.malekal.com/files.php?id=ZHPDiag_w9x15m11q14q8f15v11d7c7f10k513f14p10s6z5u1212g1115
je n'arrive pas à envoyer l'autre.
il doit être trop gros je pense.

gabado · Answer

http://pjjoint.malekal.com/files.php?id=l6u12l10l15r11o12x13h15g9b13k5s12e14t10h7e6n7m12x7s7
ben oui évidemment suis je bête!!
merci
cordialement,
gabado.

moment de grace · Answer

Ok

Le reste du pc est bien

1)

Reste du norton à supprimer

https://www.commentcamarche.net/faq/2453-supprimer-desinstaller-norton-antivirus-norton-internet-security

..........................

2)

Copie  tout le texte présent en gras ci-dessous (tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

 

[HKLM\Software\Classes\eorezobho.eobho]     
[HKLM\Software\Classes\eorezobho.eobho.1]     
[HKLM\Software\Classes\Interface\{b0d071a1-36b3-4757-a126-14c89c56013a}]     
[HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}]    
M2 - MFEP: prefs.js [Stephane - lv35rbaj.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.7.0.6 (.Conduit Ltd..)     
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Vuze_Remote\prxtbVuz2.dll 
R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Vuze_Remote\prxtbVuz2.dll 
O2 - BHO: Vuze Remote - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuz2.dll 
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\prxtbVuz2.dll 
O8 - Extra context menu item: Add to Windows &Live Favorites - (.not file.) - http:\favorites.live.com\quickadd.aspx     
O42 - Logiciel: ToolbarFR - (.Orange.) [HKLM] -- {A047FE02-C91C-41CB-898C-4ED21B86025A}     
[HKLM\Software\Classes\Toolbar.ct2504091]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{A047FE02-C91C-41CB-898C-4ED21B86025A}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
[HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
C:\Users\Stephane\AppData\LocalLow\Vuze_Remote    
EMPTYTEMP
EMPTYFLASH   

Puis Lance ZHPFix depuis le raccourci du bureau . (Clique droit -> Executer en tant qu'admin pour Vista ou Seven) 

* Une fois l'outil ZHPFix ouvert , 

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  
- Clique sur le bouton « GO » pour lancer le nettoyage, 
- Copie/colle la totalité du rapport dans ta prochaine réponse 



le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport  

................................

3)

Redemarre le pc et dis moi si tu as encore des soucis

gabado · Answer

hou !! je me suis fait peur,
j'ai fait comme tu as dis pour ZHPFix et je me suis retrouvé sans bureau
ni barre de tâche , plus rien mis à part mon fond d'écran.
j'ai éteint le pc manuellement puis rallumé et ouf tout était revenu.
voici le rapport:
Rapport de ZHPFix 1.12.3368 par Nicolas Coolman, Update du 12/11/2011
Fichier d'export Registre : 
Run by Stephane at 16/11/2011 18:24:45
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
SUPPRIME O42 - Logiciel: ToolbarFR - (.Orange.) [HKLM] -- {A047FE02-C91C-41CB-898C-4ED21B86025A}

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A047FE02-C91C-41CB-898C-4ED21B86025A}]
SUPPRIME Key: HKLM\Software\Classes\eorezobho.eobho
SUPPRIME Key: HKLM\Software\Classes\eorezobho.eobho.1
SUPPRIME Key: HKLM\Software\Classes\Interface\{b0d071a1-36b3-4757-a126-14c89c56013a}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
SUPPRIME Key: CLSID BHO: {ba14329e-9550-4989-b3f2-9732e92d17cc}
SUPPRIME Key: Menu Contextuel: Add to Windows &Live Favorites
SUPPRIME Key: HKLM\Software\Classes\Toolbar.ct2504091
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{A047FE02-C91C-41CB-898C-4ED21B86025A}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}
ABSENT Key: HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc}
SUPPRIME Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc}

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Stephane\AppData\Roaming\Mozilla\Firefox\Profiles\lv35rbaj.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
SUPPRIME Folder: c:\users\stephane\appdata\locallow\vuze_remote
SUPPRIME Temporaires Windows: : 71
SUPPRIME Flash Cookies: 2

========== Fichier(s) ==========
SUPPRIME File: c:\program files\vuze_remote\prxtbvuz2.dll
ABSENT File: c:\program files\vuze_remote\prxtbvuz2.dll
ABSENT File: p:\favorites.live.com
SUPPRIME Temporaires Windows: : 87
SUPPRIME Flash Cookies: 2


========== Récapitulatif ==========
14 : Clé(s) du Registre
2 : Valeur(s) du Registre
4 : Dossier(s)
5 : Fichier(s)
1 : Logiciel(s)


End of clean in 00mn 20s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 16/11/2011 18:24:45 [2642]

moment de grace · Answer

je me suis retrouvé sans bureau 

ca arrive parfois

apres redemarrage donc encore des soucis ?

as tu supprimer norton ?

gabado · Answer

ouaip ,j'ai supprimé les restes du norton.
pour les soucis, je ne sais pas ,faut voir à la longue.
en tout cas un grand merci.
cordialement,
gabado.

gabado · Answer

ok ça marche ,en général , si il y a lieu,
il ne met pas trop longtemps avant de planter.
je te tiens au jus.

gabado · Answer

bon,bah ' système replanté tout à l'heure.
je sors le pc de veille, je veut aller sur le net et là,
écran figé ,la souris ne répond plus,plus rien ne marche.
même en appuyant sur la touche pour éteindre sur la tour,
rien ne se passe .
obligé de débrancher l'ordi et de le rebrancher pour récupérer 
le système.
snif.

moment de grace · Answer

je ne pense pas que le soucis soit infectieux

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes applications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan
http://dl.dropbox.com/u/21363431/Pre_scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif
http://dl.dropbox.com/u/21363431/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

? Clique sur Parcourir et cherche le fichier ci-dessus.

? Clique sur Ouvrir.

? Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

? Copie ce lien dans ta réponse.

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

gabado · Answer

bonjour,
j'ai tout bien fait,mais cijoint.fr est introuvable.
peut être y a t'il un autre site ?

moment de grace · Answer

Rend toi sur http://pjjoint.malekal.com/ 

Clique sur "Parcourir "  

Sélectionne le rapport  

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

gabado · Answer

et voilà:
http://pjjoint.malekal.com/files.php?id=r15t8d10d5o10u12s14c5u11f8y10m95d12r15b5y15f10x15k11

gabado · Answer

salut et encore merci,
au début y a rien, faut descendre un peu et c'est bien là.
en tout cas le pc n'arrête pas de planter,c'est de pire en pire.
a+

moment de grace · Answer

je ne crois toujours pas à l'infection

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

gabado · Answer

http://pjjoint.malekal.com/files.php?id=w14w10t8p11s10n10h12b5u14v7u7w8s7t9u612w9f5c7z14
et voilà.

moment de grace · Answer

non rien !

explique un peu + tes plantages

gabado · Answer

bien c'est souvent quand je sort de veille et que je veut aller sur le net que ça plante.
mais parfois ça plante aussi hors connexion.
alors parfois ça redémarre tout seul ,parfois ça fige et plus rien ne répond,
parfois l'écran est tout bleu et un message en anglais dis qu'une erreur à
été détecté et que le système a été stoppé pour ne pas subir de dommage.
lors d'un redémarrage j'ai eu le droit à un outil de redémarrage pour le
système.
j'ai un peu vérifié tout , mais l'ordi me dit que tout fonctionne correctement.
ça ne serait pas une histoire de pilote,ou de programme que j'aurai effacé par
inadvertance?
petite info: quand je vais sur le net l'écran devient gris pendant une petite 
fraction de seconde , avant d'afficher la page.
ou alors c'est un problème de matériel .
a+

moment de grace · Answer

oui materiel

regarde si tu as les drivers à jour

https://www.touslesdrivers.com/index.php?v_page=29

jacksondulerk · Answer

Les virus, se réchauffe sont des choses terribles à tous. Je rencontre également ce genre de problèmes. Habituellement je réinstaller mon système avec un fichier fantôme. Mais je préfère une certaine façon, qui peut effacer tous les virus complètement, s'il ya lieu. J'espère que je peux trouver quelques réponses utiles ici. Pas encore jusqu'à maintenant.

gabado · Answer

salut,
bon voilà j'ai mis à jour les pilotes suivants:
carte réseau
carte son
carte graphique
on va voir je croise les doigts.
sinon autre chose que je pourrai faire,
merci
gabado.

gabado · Answer

après de grands espoirs cela continue de planter.
dernier en date,tout à l'heure je lance l'antivirus et je pars
faire les courses.
retour une heure après et je retrouve le pc bloqué.
encore obligé de débrancher rebrancher pour faire repartir windows.
se pourrait il que j'ai du matériel endommagé, ou obsolète ?
merci a+

vieu bison boiteu · Answer

salut à tous

https://forums.commentcamarche.net/forum/affich-23689837-probleme-windows#newanswer

à+

Pc infecté

23 réponses