Problème de pc infesté, que faire? Fermé

Question

Bonjour, 
voici le rapport

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2012.12.29.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
christophe :: CHRISTOPHE-PC [administrateur]

Protection: Activé

29/12/2012 17:51:42
mbam-log-2012-12-29 (17-51-42).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 210740
Temps écoulé: 6 minute(s), 37 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PCTuto_is1 (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_Application (Hijacker.Application) -> Données: http://go.microsoft.com/fwlink/?LinkId=57426&Ext=%s -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 9
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Mauvais: (http://ww12.certified-toolbar.com Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.SearchPage) -> Mauvais: (http://ww12.certified-toolbar.com Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.SearchPage) -> Mauvais: (http://ww12.certified-toolbar.com Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (Hijack.SearchPage) -> Mauvais: (http://ww12.certified-toolbar.com Bon: (https://www.google.com/?gws_rd=ssl -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.SearchPage) -> Mauvais: (http://ww12.certified-toolbar.com Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Mauvais: (http://ww12.certified-toolbar.com Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.SearchPage) -> Mauvais: (http://ww12.certified-toolbar.com Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (Hijack.SearchPage) -> Mauvais: (http://ww12.certified-toolbar.com Bon: (https://www.google.com/?gws_rd=ssl -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|Application (Hijacker.Application) -> Mauvais: (http://www.helpmeopen.com/?n=app&ext=%s) Bon: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 5
C:\Users\christophe\AppData\Roaming\Agence-Exclusive\Agence-Exclusive (PUP.Tuto4PC) -> Aucune action effectuée.
C:\Users\christophe\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\Download (PUP.Tuto4PC) -> Aucune action effectuée.
C:\Users\christophe\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\Software (PUP.Tuto4PC) -> Aucune action effectuée.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Protected Search (PUP.ProtectedSearch) -> Aucune action effectuée.
C:\Program Files (x86)\Agence-Exclusive (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 10
C:\Users\christophe\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\UpdatePCTuto.exe (PUP.Tuto4PC) -> Aucune action effectuée.
C:\Users\christophe\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\user_config.cyp (PUP.Tuto4PC) -> Aucune action effectuée.
C:\Users\christophe\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\help_config.cyp (PUP.Tuto4PC) -> Aucune action effectuée.
C:\Users\christophe\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\shared.cyp (PUP.Tuto4PC) -> Aucune action effectuée.
C:\Users\christophe\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\user_profil.cyp (PUP.Tuto4PC) -> Aucune action effectuée.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Protected Search\Protected Search Settings.lnk (PUP.ProtectedSearch) -> Aucune action effectuée.
C:\Program Files (x86)\Agence-Exclusive\ConfMedia.cyp (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Agence-Exclusive\unins000.dat (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Agence-Exclusive\unins000.exe (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\christophe\Local Settings\Application Data\MAJTuto\MAJTuto.exe (Adware.EoRezo) -> Suppression au redémarrage.

(fin)


Configuration: Windows 7 / Internet Explorer 9.0

Deterson · Answer

Salut! Si tu ne reçois pas d'aide (je ne suis pas vraiment en mesure de t'aider :-\ ) Va sur ce site, qui est "spécialisé" dans ça. On te répondra peut-être plus vite ^^
Au plaisir!

lilidurhone · Answer

Hello

Deterson
Ce n'est pas très recommandé de demander de l'aide sur un autre forum

Kris 

Attends sagement un contributeur sécurité 

Sur ce bonne soirée

Bridget. · Answer

@Deterson : 20 minutes, tu trouves ça lent. Nous sommes des bénévoles, pas des robots ! 
Si tu veux plus rapide, il y a le SAV  mais c'est fermé jusque lundi !!

Bridget. · Answer

Bonjour Kris,  

Ton pc est infecté par les  Pups Eorezo et PC4Tuto.  
Evite de télécharger des tutoriels gratuits. Beaucoup contiennent un adware.  
De même évite de télécharger sur les sites de gratuiciels qui ne font que repacker les logiciels en y ajoutant un adware pour se financer. 
Va télécharger directement sur le site du créateur du logiciel que tu veux télécharger ou sur CCM  qui n'ajoute pas d'adware à ses téléchargements. 


On va commencer par faire un bilan : Télécharge ZHPDiag ici :   
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/   

Comme emplacement d'installation, choisis : Bureau   
- Laisse toi guider lors de l'installation,   
coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"   
Tu verras 3 nouvelles icônes sur ton bureau : ZHPDiag, ZHPFix et MBRcheck.   
- Sous xp : double clic droit sur l'icône ZHPDiag (celle en forme de parchemin)   
- Sous Vista et 7 : clic droit sur l'icône ZHPDiag et choisir "Exécuter en tant qu'administrateur"   

- ZHPDiag s'ouvre : Si la fenêtre est trop large, réduis la largeur pour voir tous les boutons   
- Clique sur celui avec une flèche verte en haut à droite, pour mettre ZHPDiag à jour.   
- Puis clique sur le bouton représentant une loupe à gauche pour lancer le diagnostic   
- Laisse l'examen se dérouler. Un message indique que c'est terminé.   
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette   
- Héberge le rapport ZHPDiag.txt sur le site : http://pjjoint.malekal.com   

Comment faire :?   
Rends toi sur http://.pjjoint.malekal.com   
* Clique sur le bouton "Parcourir"   
* Sélectionne le fichier que tu veux héberger et clique sur Ouvrir.   
* Clique sur le bouton Envoyer   
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est par ex : https://pjjoint.malekal.com/files.php?id=df5ea299241015   
* Copie ce lien et colle-le dans ta réponse.   

Si quelquechose n'est pas clair, n'hésite pas à demander :)   

Cordialement Bridget.

kris94360 · Answer

merci bcp, je vais essayer de faire tout ça et vous dirais si ça a marché!!
bonne soirée

Deterson · Answer

Je n'ai jamais dit que l'aide sur ce site était lente, je voulais juste aider kris94360 en lui donnant l'adresse d'un autre site. Certes cela peut paraître méprisant envers la communauté CCM, mais ce n'était absolument pas mon but! Pas la peine de s'énerver...
Au plaisir!

Bridget. · Answer

Bonsoir Kris,  


1) Lancez votre pc en "mode sans échec avec prise en charge du réseau".   
Comment faire ? : (Si vous ne l'a jamais fait, lisez bien avant ou imprimez ce qui suit. Ce n'est pas compliqué).   

- Eteignez le pc / Rallumez-le.   
- Attention car c'set rapide : Dès le démarrage du Bios et avant l'apparition du logo windows, tapotez la touche F8 (1ère ligne en haut du clavier).   
- Si le logo windows apparait, c'est trop tard. Recommencez du début.   
- Tapotez F8 jusqu'à l'apparition de la fenêtre noire : "options de démarrage avancées"   
- Arrivé là, à l'aide des flèches en bas du clavier à droite, sélectionnez : "mode sans échec avec prise en charge du réseau", puis cliquez sur "Entrée".   
- Vous arrivez sur le bureau (un peu changé car toutes les fonctions sont économisées).   

2) Téléchargez ADWCleaner ici :   
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner   
- Comme emplacement d'installation, choisissez : Bureau.   
- Cliquez droit sur l'icône et choisissez  "Exécuter en tant qu'administrateur".   
- Le fichier apparait : cliquez sur "Exécuter"   
- L'utilitaire s'ouvre : choisissez le mode "Recherche".   
- Ne supprimez pas au cas où il y aurait des faux positifs.   
- Un rapport sera généré.   
- Vous  le trouverez en faisant : Démarrer /poste de travail / disque dur c   
- Hébergez le rapport sur https://www.cjoint.com/   
- Un lien sera créé. Copiez-le et collez-le dans ta prochaine réponse.   
Merci de respecter les sites d'hébergement demandés.   

[NB : Si vous avez déjà ADWCleaner sur votre pc, ouvrez-le et cliquez sur désinstaller,   
puis téléchargez la dernière version car l'outil évolue sans cesse en fonction des nouvelles menaces, il est donc inutile de le conserver .]   

Je vérifie le rapport et vous dis si vous pouvez supprimer.  @+ Bridget.