Infection trojan EORezo

maitreya Messages postés 321 Statut Membre -  
maitreya Messages postés 321 Statut Membre -
Bonjour, depuis hier je suis infecté par un trojan : Tuto 4pc , EORezo
Mes pages internet se bloquaient avec des messages me disant que la mémoire du pc était insuffisante , j'ai donc lancé un scan avec avast mais il s'arrête , j'ai fait un scan réussi avec Malwarebytes , le rapport est ci dessous . Ce matin je vois que j'ai encore des problèmes , le message de mémoire insuffisante apparaît toujours , j'ai lancé un scan avec Zhpdiag mais il est bloqué a 23 pour cent , une petite aide de votre part serait la bienvenue , merci d'avance .

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.16.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
jessica :: JESSICA-PC [administrateur]

16/02/2013 14:08:14
mbam-log-2013-02-16 (14-08-14).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 390664
Temps écoulé: 1 heure(s), 5 minute(s), 49 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKLM\SOFTWARE\TUTO4PC (PUP.Tuto4PC) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\TUTO4PC (Trojan.EORezo) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

21 réponses

  • 1
  • 2
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    0
  2. maitreya Messages postés 321 Statut Membre 116
     
    Merci , comment puis-je arrêter ZHPDiag ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      doit y avoir un bouton stop ou arreter.
      ou la croix en haut à droite.
      0
    2. maitreya Messages postés 321 Statut Membre 116
       
      Oui mais ca ne fonctionne pas , je peux essayer par le gestionnaire de taches mais je n'ose pas
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Attends qu'il finisse pour passer à AdwCleaner sinon.
      0
    4. maitreya Messages postés 321 Statut Membre 116
       
      Ca fait 30 min qu'il est bloqué a 23 pour cent et j'ai l'impression qu'il ne se passe plus rien
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      kill le alors avec le gestionnaire de tâches.
      0
  3. maitreya Messages postés 321 Statut Membre 116
     
    J'ai du faire vite , les applications ne restent visible qu'une seconde dans le gestionnaire de tache puis disparaissent . Voici le rapport AdwCleaner

    # AdwCleaner v2.112 - Rapport créé le 17/02/2013 à 12:00:39
    # Mis à jour le 10/02/2013 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : jessica - JESSICA-PC
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\jessica\Downloads\AdwCleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\ProgramData\Tarma Installer

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Supprimée : HKCU\Software\Tutorials
    Clé Supprimée : HKLM\Software\Classes\Installer\Features\16FE85B52F587794795A481CF9295697
    Clé Supprimée : HKLM\Software\Classes\Installer\Features\254796BF4AC84B64891B61C529A2E23F
    Clé Supprimée : HKLM\Software\Classes\Installer\Features\758F5690DAAD39F40845E0E23C8C5C0B
    Clé Supprimée : HKLM\Software\Classes\Installer\Products\16FE85B52F587794795A481CF9295697
    Clé Supprimée : HKLM\Software\Classes\Installer\Products\254796BF4AC84B64891B61C529A2E23F
    Clé Supprimée : HKLM\Software\Classes\Installer\Products\758F5690DAAD39F40845E0E23C8C5C0B
    Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
    Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [tuto4pc_fr_23]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.7601.17514

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Google Chrome v24.0.1312.57

    Fichier : C:\Users\jessica\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [4447 octets] - [08/10/2012 21:01:35]
    AdwCleaner[S2].txt - [1058 octets] - [09/10/2012 18:45:58]
    AdwCleaner[S3].txt - [6419 octets] - [16/10/2012 16:32:06]
    AdwCleaner[S4].txt - [2848 octets] - [17/02/2013 12:00:39]

    ########## EOF - C:\AdwCleaner[S4].txt - [2908 octets] ##########
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. maitreya Messages postés 321 Statut Membre 116
     
    OTL ( ne répond pas ) , après 30 min de scan ....
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Essaye en mode sans échec :

    Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    [2011/05/01 23:17:44 | 000,008,435 | ---- | C] () -- C:\Users\jessica\AppData\Roaming\PStrip.bko
    [2011/03/31 21:06:02 | 000,002,528 | ---- | C] () -- C:\Users\jessica\AppData\Roaming\$.hpc
    [2010/11/11 05:07:52 | 000,008,474 | ---- | C] () -- C:\Users\jessica\AppData\Roaming\PStrip.bk!
    [2010/11/11 05:07:49 | 000,008,474 | ---- | C] () -- C:\Users\jessica\AppData\Roaming\PStrip.bak
    [2010/11/08 03:39:02 | 000,008,474 | ---- | C] () -- C:\Users\jessica\AppData\Roaming\PStrip.ini
    [2013/02/14 00:54:11 | 000,000,000 | -H-D | C] -- C:\Users\Public\Documents\SysLogger
    [2013/02/14 00:53:56 | 000,000,000 | -H-D | C] -- C:\ProgramData\SysLogger
    [2012/11/15 03:29:15 | 000,007,680 | ---- | C] () -- C:\Windows\354556669.exe
    [2012/11/15 03:29:14 | 000,001,028 | ---- | C] () -- C:\Windows\354556669.dat
    [2012/11/05 22:14:19 | 000,007,680 | ---- | C] () -- C:\Windows\98314965.exe
    [2012/11/05 22:14:19 | 000,000,388 | ---- | C] () -- C:\Windows\98314965.dat
    [2012/10/13 23:13:04 | 000,021,504 | ---- | C] () -- C:\Users\jessica\auth.exe
    [2013/02/14 01:20:14 | 000,000,000 | ---D | C] -- C:\Users\jessica\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\yoetjyoetjyoetjy


    * redemarre le pc sous windows et poste le rapport ici

    0
  9. maitreya Messages postés 321 Statut Membre 116
     
    voici le rapport :

    C:\Users\jessica\AppData\Roaming\PStrip.bko moved successfully.
    File C:\Users\jessica\AppData\Roaming\$.hpc not found.
    C:\Users\jessica\AppData\Roaming\PStrip.bk! moved successfully.
    C:\Users\jessica\AppData\Roaming\PStrip.bak moved successfully.
    C:\Users\jessica\AppData\Roaming\PStrip.ini moved successfully.
    C:\Users\Public\Documents\SysLogger\screens\screens folder moved successfully.
    C:\Users\Public\Documents\SysLogger\screens\jessica folder moved successfully.
    C:\Users\Public\Documents\SysLogger\screens\Invité folder moved successfully.
    C:\Users\Public\Documents\SysLogger\screens\HomeGroupUser$ folder moved successfully.
    C:\Users\Public\Documents\SysLogger\screens\Administrateur folder moved successfully.
    C:\Users\Public\Documents\SysLogger\screens folder moved successfully.
    C:\Users\Public\Documents\SysLogger\reports\reports\reports folder moved successfully.
    C:\Users\Public\Documents\SysLogger\reports\reports\jessica folder moved successfully.
    C:\Users\Public\Documents\SysLogger\reports\reports folder moved successfully.
    C:\Users\Public\Documents\SysLogger\reports\jessica folder moved successfully.
    C:\Users\Public\Documents\SysLogger\reports\Invité folder moved successfully.
    C:\Users\Public\Documents\SysLogger\reports\HomeGroupUser$ folder moved successfully.
    C:\Users\Public\Documents\SysLogger\reports\Administrateur folder moved successfully.
    C:\Users\Public\Documents\SysLogger\reports folder moved successfully.
    C:\Users\Public\Documents\SysLogger\jessica folder moved successfully.
    C:\Users\Public\Documents\SysLogger folder moved successfully.
    C:\ProgramData\SysLogger folder moved successfully.
    C:\Windows\354556669.exe moved successfully.
    C:\Windows\354556669.dat moved successfully.
    C:\Windows\98314965.exe moved successfully.
    C:\Windows\98314965.dat moved successfully.
    C:\Users\jessica\auth.exe moved successfully.
    C:\Users\jessica\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\yoetjyoetjyoetjy folder moved successfully.

    OTL by OldTimer - Version 3.2.69.0 log created on 02172013_140652
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Comment se comporte le PC ?
    0
  11. maitreya Messages postés 321 Statut Membre 116
     
    La différence est énorme ^^ , il est beaucoup plus rapide , les pages internet s'ouvrent tout de suite , j'ai eu un message d'erreur après le dernier redémarrage du genre : dll syslogger introuvable
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu as un programme FK Monitor ou Syslogger, que tu peux désinstaller ?
      0
    2. maitreya Messages postés 321 Statut Membre 116
       
      Non je ne pense pas avoir ce genre de programme , auriez des précisions a me donner sur le problème que j'ai eu si vous pensez qu'il est résolu ?

      Je viens de redémarrer pour vous donner le message d'erreur précis :

      Problème lors du démarrage de :

      c:\programmedata\syslogger\core32_175.dll

      le module spécifié est introuvable .
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Je parle à désinstaller hien.
      Dans le Panneau de Configuration puis Programmes et Fonctionnalités
      0
    4. maitreya Messages postés 321 Statut Membre 116
       
      non j'ai vérifie par contre je viens de trouver FK monitor dans c:
      0
    5. maitreya Messages postés 321 Statut Membre 116
       
      j'ai supprimé FK monitor , redémarré et j'ai deux message d'erreur comme ci-dessus
      0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Refais un scan OTL pour voir, donne le lien du rapport.
    0
  13. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    IE - HKCU\..\SearchScopes\{5F3BEBD5-F6C6-A4B8-EDD2-A6F5F61813A8}: URL = http://www.buzqo.com/s/?q={searchTerms}&iesrc={referrer:source?}&cfg=2-401-0-3diOw
    O4 - HKCU..\Run: [service.exe] C:\Program Files (x86)\FK_Monitor\service.exe File not found


    * redemarre le pc sous windows et poste le rapport ici

    puis SystemLookup :

    Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
    http://jpshortstuff.247fixes.com/SystemLook.exe
    http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

    SE 64 bits là : http://jpshortstuff.247fixes.com/SystemLook_x64.exe

    [*]Double-click SystemLook.exe pour le lançer...clic droit executer en tant qu'administrateur sous vista/7

    [*]Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:

    ::folderfind
    *FK_Monitor*


    [*]Click le bouton Look pour commencer le scan.
    [*] Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt
    0
  14. maitreya Messages postés 321 Statut Membre 116
     
    voici les rapports :

    le rapport OTL:

    ========== OTL ==========
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5F3BEBD5-F6C6-A4B8-EDD2-A6F5F61813A8}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5F3BEBD5-F6C6-A4B8-EDD2-A6F5F61813A8}\ not found.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\service.exe deleted successfully.

    OTL by OldTimer - Version 3.2.69.0 log created on 02172013_192815

    le rapport SystemLook :

    SystemLook 30.07.11 by jpshortstuff
    Log created at 19:33 on 17/02/2013 by jessica
    Administrator - Elevation successful
    WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

    No Context: *FK_Monitor*

    -= EOF =-
    0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    [*]Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:

    :folderfind
    *FK_Monitor*

    [*]Click le bouton Look pour commencer le scan.
    [*] Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt

    0
  16. maitreya Messages postés 321 Statut Membre 116
     
    voici le rapport :

    SystemLook 30.07.11 by jpshortstuff
    Log created at 19:58 on 17/02/2013 by jessica
    Administrator - Elevation successful
    WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

    ========== folderfind ==========

    Searching for "*FK_Monitor* "
    No folders found.

    -= EOF =-
    0
  17. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    \o

    [*]Double-click SystemLook.exe pour le lançer...clic droit executer en tant qu'administrateur sous vista/7

    [*]Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:

    :regfind
    FK_Monitor


    [*]Click le bouton Look pour commencer le scan.
    [*] Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  18. maitreya Messages postés 321 Statut Membre 116
     
    Voici le rapport :

    SystemLook 30.07.11 by jpshortstuff
    Log created at 20:21 on 17/02/2013 by jessica
    Administrator - Elevation successful
    WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results.

    ========== regfind ==========

    Searching for "FK_Monitor "
    No data found.

    -= EOF =-
    0
  19. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bon on trouve pas.

    Essaye de le réinstaller : https://download.cnet.com/s/free-keylogger/

    Puis le désinstaller ensuite.
    Ca devrait virer le message.

    Pour info, c'est un keylogger.
    Soit c'est un malware qui l'a mis, soit un autre utilistaeur du PC.
    0
  • 1
  • 2