Infection abominable ! Résolu

Question

Bonjour, 

Configuration: Windows Vista / Internet Explorer 8.0

Bonjour,
Je suis sur l'ordinateur de ma mère qui est très infecté par un tas de fenêtres publicitaires qui s'ouvrent toutes les 2 minutes !
eorézo, des jeux, des pubs immobilières, des sites de rencontres, des sites pornos ...
L'ordi rame énormément, y'a 3 moteurs de recherches, bref c'est le dawa là-dedans !
Quelqu'un peut-il m'aider à réparer tout ça ? 
Je suis un peu la rue avec les nettoyages d'ordi, merci d'avance,
Audrey

g3n-h@ckm@n · Answer

salut

 Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

yerdua19 · Answer

Salut ! Pascal je crois ? 
Tu m'avais déjà aidé il y a quelques mois pour mon ordi, merci !
Audrey

# AdwCleaner v2.115 - Rapport créé le 30/03/2013 à 19:51:31
# Mis à jour le 17/03/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : mamé - PC-DE-MAMÉ
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\mamé\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\EoRezo
Dossier Supprimé : C:\Users\mamé\AppData\Local\EoRezo
Dossier Supprimé : C:\Users\mamé\AppData\Roaming\EoRezo

***** [Registre] *****

Clé Supprimée : HKCU\Software\EoRezo
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\EoEngineBHO.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Supprimée : HKLM\SOFTWARE\Classes\EoEngineBHO.EOBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\EoEngineBHO.EOBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
Clé Supprimée : HKLM\Software\EoRezo
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EoRezo_is1
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [EoRezo]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [AgenceChromeBHO@eorezo.com]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.19401

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://y.lo.st --> hxxp://www.google.com

*************************

AdwCleaner[S1].txt - [2844 octets] - [30/03/2013 19:51:31]

########## EOF - C:\AdwCleaner[S1].txt - [2904 octets] ##########

g3n-h@ckm@n · Answer

c'est bien ca :) quelle mémoire ! ^^

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

yerdua19 · Answer

Pour https://www.cjoint.com/ Norton dit :
Site Web malveillant bloqué
Vous avez tenté d'accéder à : https://www.cjoint.com/
Il s'agit d'un site Web malveillant connu. Il vous est recommandé de ne PAS visiter ce site. Le rapport détaillé décrit les risques de sécurité de ce site. 
Pour votre protection, ce site Web a été bloqué. Rendez-vous sur le site de Symantec pour en savoir plus sur le phishing et la sécurité sur Internet.

g3n-h@ckm@n · Answer

norton dit n'importe quoi

yerdua19 · Answer

lol je te fais confiance moi, mais il m'empêche de l'ouvrir :(

g3n-h@ckm@n · Answer

ben desactive norton voyons !

yerdua19 · Answer

Ba' oui mais comment on fait pardi !

g3n-h@ckm@n · Answer

google est ton ami

https://www.google.fr/search?q=desactiver+norton&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:fr:official&client=firefox-a

yerdua19 · Answer

merki ;))))

http://cjoint.com/data3/3CFaqSBpUxx.htm

http://cjoint.com/data3/3CFatzSMWQq.htm

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

yerdua19 · Answer

Salut, desolée, impossible de rallumer l'ordi ! 
J'ai du l'allumer en mode sans echec et faire une restauration, c'était OTL qui faisait bug le truc apparemment.

Voici le rapport :

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.03.30.08

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19401
mamé :: PC-DE-MAMÉ [administrateur]

Protection: Activé

31/03/2013 02:12:53
mbam-log-2013-03-31 (02-12-53).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 355004
Temps écoulé: 1 heure(s), 22 minute(s), 42 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

J'ai bien supprimé Norton comme tu m'as dit mais ça veut dire qu'il n'y a plus de protection maintenant ?

g3n-h@ckm@n · Answer

je ne t'ai jamais dit de supprimer norton mais de le desactiver

yerdua19 · Answer

Ah merde, j'avais pas vu que c'était pas toi le commentaire ....
Ba' m'engueule pas, si ça se trouve il est toujours là, l'icône Norton est toujours sur le bureau. je fais les trucs à l'aveuglette, je ne comprends pas la moitié de ce que je fais alors ...
Et maintenant du coup ?

g3n-h@ckm@n · Answer

bah desinstalle-le completement maintenant avec l'outil fait pour 

https://support.norton.com/sp/fr/fr/home/current/solutions/v60392881

puis installe avast antivirus gratuit :

 https://www.avast.com/fr-fr/index

yerdua19 · Answer

Fait ;)

g3n-h@ckm@n · Answer

bien refais OTL comme precedemment

yerdua19 · Answer

http://cjoint.com/confirm.php?cjoint=3Dbrf6V3Oqj

http://cjoint.com/confirm.php?cjoint=3Dbrg2qgypt

g3n-h@ckm@n · Answer

supprime ca 

C:\Windows\system32\Tasks\CreateChoiceProcessTask 

sinon dans l'ensemble c'est propre

yerdua19 · Answer

Ok, heu comment je fais pour le supprimer ?

g3n-h@ckm@n · Answer

ben clic droit dessus => supprimer...

yerdua19 · Answer

Mais je le trouve où ? dans quel dossier ?

g3n-h@ckm@n · Answer

?

ben tu suis le chemin que je t'indique plus haut

yerdua19 · Answer

Desolée je ne comprends pas ce que tu me demandes ...

g3n-h@ckm@n · Answer

sur quel navigateur ?

yerdua19 · Answer

pour internet c'est explorer avec google mais en telechargeant avast j'ai vu trop tard que j'avais laissé coché google chrome.

g3n-h@ckm@n · Answer

j'ai rien compris

yerdua19 · Answer

lol on a du mal à se comprendre tous les 2 ;)
j'utilise internet explorer. 
le moteur de recherche c'est google "tout court".
Quand j'ai installé avast, google "chrome" s'est installé avec.
j'y connais rien mais peut-être que ça fait conflit.

g3n-h@ckm@n · Answer

conflit non 

à l'installation de google chrome il t'a ete proposé de synchroniser avec ton compte google si tu en as un , tu ne l'as pas fait au moins ?

yerdua19 · Answer

Alors là ça j'en ai aucune idée, mais je ne me souviens pas dee ça donc je crois que non.
 à moins que c'était pré-coché, et là c'est sûr je l'ai fait !

g3n-h@ckm@n · Answer

quel genre de pubs est-ce ?

yerdua19 · Answer

tout à l'heure c'était un gars qui racontait comment gagner de l'argent avec des options binaires.
les pubs pour les sites de rencontres et pornos y'en a plus je croise les doigts.
maintenant c'est des jeux

g3n-h@ckm@n · Answer

installe adblock plus

 https://www.commentcamarche.net/telecharger/web-internet/25023-adblock-plus/

https://chrome.google.com/webstore/detail/adblock-plus-free-ad-bloc/cfhdojbkjhnklbpkdaibdccddilifddb?hl=fr

yerdua19 · Answer

Bonjour !
c'est fait ! :)

yerdua19 · Answer

Salut ! 
Plus aucunes pubs qui s'ouvrent, Merciiiiiiiiiiiiiiiiiiii !!!!

C'est tout alors y'a plus rien à faire ?

g3n-h@ckm@n · Answer

le menage si ce n'est fait

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

yerdua19 · Answer

# DelFix v10.2 - Rapport créé le 03/04/2013 à 16:11:11
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : mamé - PC-DE-MAMÉ

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Users\mamé\Desktop\adwcleaner.exe
Supprimé : C:\Users\mamé\Desktop\OTL.exe
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #310 [Windows Update | 01/15/2013 13:29:26]
Supprimé : RP #311 [Windows Update | 02/13/2013 19:33:51]
Supprimé : RP #312 [Windows Update | 03/13/2013 11:56:57]
Supprimé : RP #313 [Windows Update | 03/21/2013 21:19:46]
Supprimé : RP #314 [OTL Restore Point - 30/03/2013 21:14:38 | 03/30/2013 20:14:38]
Supprimé : RP #315 [Installation avast! Free Antivirus | 04/01/2013 13:49:51]
Supprimé : RP #316 [OTL Restore Point - 01/04/2013 16:30:19 | 04/01/2013 14:30:20]
Supprimé : RP #317 [Installed Java 7 Update 17 | 04/03/2013 14:02:02]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

g3n-h@ckm@n · Answer

magnifique

yerdua19 · Answer

:))))

Alors c'est tout bon ?

g3n-h@ckm@n · Answer

bah c'est à toi de me le dire ^^

yerdua19 · Answer

Y'a plus de soucis, plus de pubs, il ne rame plus, donc je dirai que oui c'est tout bon !!!!

Merkiiiiiiiiiiiiiiiii beaucoup Pascal !!!!!! 

et à Homerlulu et Hulkbulck aussi :))))))

g3n-h@ckm@n · Answer

:)

yerdua19 · Answer

Sorry je t'embête encore un peu :(
Tout en bas à droite de mon écran, quand je mets ma souris près de l'heure et de l'état de la batterie, normalement y'a une petite icône pour le son.
Elle n'y est plus, elle est passée où ?

g3n-h@ckm@n · Answer

je ne peux plus non plus regarder les séries sur streamzzz :(((((

précise exactement ?

yerdua19 · Answer

ça disait "your video is not uploaded yet", nouvelle version de flash player est requise.
J'ai retéléchargé flash player, ça marchait toujours pas.
j'ai visité des forums ça parlait d'aller sur outils, option de navigation et et d'autoriser je sais plus quoi "par défaut" mais c'était avec internet explorer alors j'ai pas fait, puisque je suis maintenant sur chrome.

Et puis finalement j'ai cliqué sur d'autres vidéos, elles fonctionnait et puis je suis retournée sur celle que je voulais voir et ça a marché j'ai rien compris, pourtant j'avais rien touché !

Et puis pour l'icône pour le son, ce matin elle était revenue !!!!

J'y comprends rien du tout ! l'informatique restera toujours un mystère pour moi.

g3n-h@ckm@n · Answer

:)

buckhulk · Answer

donc tu peux mettre en résollu comme  CA

yerdua19 · Answer

Ok, encore merci beaucoup pour votre aide ! 
z'êtes des champions !!! MERCI

Infection abominable !

48 réponses

Discussions similaires

Newsletters