Votre question

16 trojans détectés avec Malwarebytes

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Juin 2012 00:47:08

Bonjour,
Je tente de réparer l'ordinateur de ma petite soeur qui est lourdement infecté. En effet, hier tous ses comptes (Facebook, hotmail, etc...) ont été piratés. Comme je n'y trouvais pas de solution, j'ai décidé de lui recréer un nouveau compte Facebook et quelques minutes plus tard, compte piraté ! J'ai fait une petite recherche google et il parait que ça peut être dû à un Virus ... je ne vous cache pas que je n'y connais pas grand chose car étant sous mac, je n'ai jamais eu ce genre de souci.
Quoi qu'il en soit, j'aperçois que McAfee affiche constamment un message indiquant que l'internet security empêche tel ou tel site de s'ouvrir par protection (upd.alpha ... )c'est ce site là. Il y a donc clairement un problème.

J'ai lancé malwarebytes dont vous trouverez le rapport ci-dessous. Je souhaite faire un GROS nettoyage, mettre un maximum de sécurité pour éviter ce genre de problème à l'avenir, et mettre des nettoyages automatiques.

Mais tout d'abord, je passe par ce forum pour obtenir votre aide concernant les infections détectés par malwarebytes.

Merci beaucoup pour votre aide, l'ordinateur est quasi neuf ... Voici le log

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.15.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Utilisateur :: UTILISATEUR_PC [administrateur]

15/06/2012 23:35:45
mbam-log-2012-06-15 (23-35-45).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 348163
Temps écoulé: 2 heure(s), 56 minute(s), 22 seconde(s)

Processus mémoire détecté(s): 1
C:\Users\Utilisateur\AppData\Roaming\PCtuto\UpdatePCTuto\autoupdater.exe (Trojan.Eorezo) -> 2988 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 8
HKCR\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E} (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKCR\PCTutoBHO.PCTBHO.1 (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKCR\PCTutoBHO.PCTBHO (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA} (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78} (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|autoupdater (Trojan.Eorezo) -> Données: C:\Users\Utilisateur\AppData\Roaming\PCtuto\UpdatePCTuto\autoupdater.exe -runonce -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 6
C:\Users\Utilisateur\AppData\Roaming\PCtuto\UpdatePCTuto\autoupdater.exe (Trojan.Eorezo) -> Suppression au redémarrage.
C:\Program Files (x86)\PCTuto\pctutoBHO.dll (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\PCTuto\pctuto.exe (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Utilisateur\AppData\Roaming\PCtuto\UpdatePCTuto\UpdatePCTuto.exe (PUP.Tuto4PC) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\PCTuto\confmedia.cyp (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Utilisateur\Local Settings\Application Data\MAJTuto\MAJTuto.exe (Adware.EoRezo) -> Suppression au redémarrage.

(fin)

Autres pages sur : trojans detectes malwarebytes

a c 639 8 Sécurité
17 Juin 2012 11:09:04

bonjour

on va aider ta petite soeur et dis lui de ne pas se servir de son pc , le temps de la désinfection
et lorsque la désinfection sera finie, dis lui de changer tous ses comptes et mots de passe

des mots de passe très très difficile en alphanumérique avec majuscules et minisucules, qu'elle note sur un carnet

================
1)


ZHPDiag de Nicolas Coolman

Télécharge ZHPDiag
deNicolas Coolman sur ton Bureau

Lance l'outil : double-clique sur ZHPDiag pour XP
Pour Vista et seven
fais un clic droit sur l'icône et exécuter en tant qu'administrateur.

il faut vérifier si la version de zhpdiag est bien à jour.

si elle n'y est pas
clique sur la grosse flèche verte pour la mise à jour de l'outil

Clic sur la petite loupe en haut à gauche pour débuter l'analyse :

L'analyse peut durer une dizaine de minutes

Une fois le scan terminé,

  • clique sur l'icône en forme de disquette
  • et enregistre le fichier sur ton bureau.

    Le rapport généré par l'outil se nomme ZHPDiag.txt,

    Tu hébergeras le fichier contenant ce rapport ici : cjoint

    * Clique sur Parcourir pour rechercher le rapport ZHPDiag.txt
    qui se trouve sur le bureau

    * puis clique sur : Cliquez ici pour déposer le fichier

    * Donne le lien dans le sujet.

    * Il est de type : http://cjoint.com/?jdkmb35QPK

    * Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport
    pour que je puisse le télécharger et l'analyser


    /!\Information relative à Internet Explorer 9 : /!\

    Si ZHPDiag est téléchargé à partir d'Internet Explorer 9 et que le filtre Smart Screen est activé, un message de ce type apparaître en bas de page :



    Il s'agit simplement du filtre SmartScreen qui n'inclut pas encore la totalité des logiciels
    (cela se produira également sans doute avec les autres outils qui seront téléchargés durant la désinfection)


    Il faut donc cliquer sur le bouton "actions" et choisir "exécuter quand même"


    Autre lien de téléchargement de l'outil sans alerte : ZHPDiag.zip (Site de l'éditeur)



    17 Juin 2012 11:45:42

    Bonjour Migau,
    Merci de l'aide que tu pourra nous apporter. Dès que j'ai remarqué que le deuxième compte facebook avait été piraté, je lui ai dit de ne plus s'en servir jusqu'à ce que le problème soit réglé.

    J'ai suivi la démarche que tu indiques, voici le lien de téléchargement du rapport : http://cjoint.com/?BFrlQznP33b

    Pour moi, c'est bien évidemment du charabiat, je te laisse la place :ange: 

    Merci beaucoup
    Contenus similaires
    a c 639 8 Sécurité
    17 Juin 2012 12:18:32

    on y va

    1)
    desinstalle par

    * démarrer
    * panneau de configuration
    * programmes et fonctionnalités

    pctuto
    offerbox
    sweetIM

    si tu ne les trouves pas , tant pis, tu continues, tu trouveras au moins pctuto

    =================
    2)

    ===================
    Adwcleaner


    Option Suppression :

    ===================

    * Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    * Lance le, clique sur [Suppression]



    * puis patiente le temps du scan.
    * Une fois le scan fini, un rapport s'ouvrira.
    * Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    ===================
    3)
    remets ensuite un rapport zhpdiag

    17 Juin 2012 13:32:10

    En effet, je n'ai que trouvé PCTuto et j'ai supprimé toutes les entrées dont l'éditeur était PcTuto. J'ai remarqué un truc sur le bureau qui s'appelle "MBRCheck", c'est normal ?

    Voici le contenu Adwcleaner :
    # AdwCleaner v1.609 - Rapport créé le 17/06/2012 à 13:17:56
    # Mis à jour le 10/06/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Utilisateur - UTILISATEUR_PC
    # Exécuté depuis : C:\Users\Utilisateur\Desktop\adwcleaner.exe
    # Option [Suppression]


    ***** [Services] *****


    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\Utilisateur\AppData\Roaming\OfferBox
    Dossier Supprimé : C:\Program Files (x86)\PCtuto
    Fichier Supprimé : C:\Users\Public\Desktop\eBay.lnk

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Offerbox
    Clé Supprimée : HKCU\Software\PCTuto
    Clé Supprimée : HKCU\Software\SweetIm
    Clé Supprimée : HKLM\SOFTWARE\Offerbox
    Clé Supprimée : HKLM\SOFTWARE\PCTuto
    Clé Supprimée : HKLM\SOFTWARE\SweetIM
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\PCTutoBHO.DLL
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [comnetwork]
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [PcTuto]
    [x64] Clé Supprimée : HKLM\SOFTWARE\Software
    [x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PCTuto

    ***** [Registre - GUID] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{759F1421-4D31-4C1F-8C51-E4956A037676}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35D-6118-11DC-9C72-001320C79847}
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EEE6C35B-6118-11DC-9C72-001320C79847}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v12.0 (fr)

    Nom du profil : default
    Fichier : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\pt9t9a2c.default\prefs.js

    Supprimée : user_pref("browser.search.defaultenginename", "SweetIM Search");
    Supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
    Supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaulturl", "");
    Supprimée : user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
    Supprimée : user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
    Supprimée : user_pref("sweetim.toolbar.urls.homepage", "hxxp://home.sweetim.com");

    *************************

    AdwCleaner[S1].txt - [2352 octets] - [17/06/2012 13:17:56]

    ########## EOF - C:\AdwCleaner[S1].txt - [2480 octets] ##########


    Le nouveau rapport ZHPDiag : http://cjoint.com/?BFrnFPlhPOX
    a c 639 8 Sécurité
    17 Juin 2012 13:44:51

    hello

    "MBRCheck est installé en même temps que zhpdiag et zhpfix

    =================================
    1)

    ZHPFix : nettoyage, le raccourci est sur ton bureau


    • Lance ZHPFix : double clic pour xp
    • pour Windows Vista ou Windows 7, lance le par un clic-droit l'icône zhpfix : exécuter en temps qu'administrateur.
    • Copie les lignes suivantes : entre les étoiles mais sans les étoiles

  • *****************************************************
    O4 - Global Startup: C:\Users\Utilisateur\Desktop\Aller sur MSN.fr.lnk - Clé orpheline
    sysrestore
    EMPTYTEMP
    EMPTYCLSID
    FirewallRAZ

    *****************************************************

    • Clique sur l'icone représentant la lettre (« coller les lignes Helper »)
    • Les lignes se collent automatiquement dans ZHPFix.
    • vérifier que ce sont les bonnes lignes et rien d'autres

    • Clique sur : Go

    • le bureau va disparaître le temps de la suppression.



  • • Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton pc si également proposé, car cela stopperai ZHPFix.
    • Ton navigateur risque de s'ouvrir pendant la désinstallation des toolbars, pas de panique c'est normal, ferme les fenêtres tout simplement.
    • Redémarre le pc, copie et colle le rapport ZHPFix.txt qui s'affiche

    Note : le rapport est enregistré sous C:\ZHPDiag\ZHPFixReport.txt

    ====================================
    2)

    SX Check&Update :

    • Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur SXC&U.exe pour lancer l'application
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player sous chaque navigateur qui s'est ouvert, Internet Explorer et Firefox dans ton cas
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/flashplayer/
    • Ensuite, clique sur le bouton Update Java et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://www.java.com/fr/download/
    • Ensuite, clique sur le bouton Update Adobe Reader et installe la dernière version proposée
      A titre indicatif, la page de téléchargement http://get.adobe.com/fr/reader/?promoid=HTEGU
    • N'oublie pas de décocher à chaque fois les options proposées (Barre Google et autre)
    • Referme l'outil et relance-le pour générer un nouveau rapport en cliquant sur le bouton Rapport
    • Copie-colle le contenu de ce rapport dans ta prochaine réponse.


  • Merci chantal11
    17 Juin 2012 15:21:37

    Dans un premier temps, le rapport ZHPFix : http://cjoint.com/?BFrpvlfgklp

    Puis le rapport SW Check and update :
    SX Check&Update
    Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-ch...
    ---
    Windows Version : Windows 7 64bits
    Service Pack : 1
    UserName : Utilisateur
    17/06/2012
    15:16:39
    version = v0.2.4
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---
    Java Information :
    Nom : Java(TM) 6 Update 22 (64-bit)
    Version : 6.0.220
    Java(TM) 6 Update 22 (64-bit) n'est pas à jour! (6.0.320)


    ---
    Name : FlashPlayer ActiveX
    Version : 11.3.300.257
    Flash Player ActiveX est à jour

    Name : FlashPlayer Plugin
    Version : 11.3.300.257
    Flash Player Plugin est à jour

    Nom : Mozilla Firefox 12.0 (x86 fr)
    Version : 12.0

    Nom : Mozilla Maintenance Service
    Version : 12.0

    Java Information :
    Nom : Java(TM) 6 Update 17
    Version : 6.0.170
    Java(TM) 6 Update 17 n'est pas à jour! (6.0.320)

    Java Information :
    Nom : Java(TM) 7 Update 5
    Version : 7.0.50
    Java(TM) 7 Update 5 est à jour

    Name : Adobe Reader 9.5.1 - Français
    Version : 9.5.1
    Adobe Reader est à jour

    Nom : Internet Explorer
    Version : 9.0.8112.16421

    Merci de consacrer du temps à notre problème, c'est vraiment sympa




    a c 639 8 Sécurité
    17 Juin 2012 16:35:32

    hello

    1)
    dans programmes et fonctionnalités , tu désinstalles
    java 6 version 17

    2)
    tu relances adwcleaner, et tu cliques sur désinstallation
    garde pour l'instant zhpdiag

    3)
    maintenant une chose me chiffone, je ne vois pas d'antivirus lancé au démarrage du pc
    il y a bien mc afee , il devait être pré installé dans le pc, mais si ta petite soeur n'a pas renouvelé l'abonnement, mc afee est caduque
    il serait bon de le lui demander et si mc afee n'est plus valable, on peut le désinstaller et installer un antivirus gratuit qui fera aussi bien le travail

    pour désinstaller mc afee
    télécharge vscleanupTool

    http://www.vista-xp.fr/forum/topic11511.html
    17 Juin 2012 20:12:19

    J'ai désinstallé Java et adwcleaner.

    Lorsque j'ouvre McAfee Internet Security, c'est marqué que mon ordinateur est protégé, ensuite toutes les différentes fonctionnalités sont bien activées. Je n'aime pas McAfee, alors s'il existe un bon antivirus gratuit je préfère l'installer, au moins pas besoin de payer pour renouveler en plus !
    a c 639 8 Sécurité
    17 Juin 2012 21:04:48

    Obaya78 a dit :
    J'ai désinstallé Java et adwcleaner.

    Lorsque j'ouvre McAfee Internet Security, c'est marqué que mon ordinateur est protégé, ensuite toutes les différentes fonctionnalités sont bien activées. Je n'aime pas McAfee, alors s'il existe un bon antivirus gratuit je préfère l'installer, au moins pas besoin de payer pour renouveler en plus !


    oui, tu pourras désinstaller mc afee avec le lien que je t'ai donné
    et installé un antivirus gratuit

    avast ou antivir de avira

    tu peux désinstaller zhpdiag et garde malwarebytes que tu passeras de temps en temps

    comme tu es un grand frère gentil , achète un DD externe et demande à ta soeur de sauvegarder ses photos et ses musiques dessus par précaution.
    suis bien son pc , que les mises à jours soient faites régulièrement.

    dernière chose , dis lui d'être très prudente, tout le monde n'est pas gentil sur FACEBOOK

    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment,
    il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque,
    et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs
    /!\

    Citation :

    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier"
    (en bas, en forme de crayon) dans ton tout premier message.
    ===>>> Ajoute ensuite [Résolu] à coté du sujet et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert),
    valider une "meilleure réponse",
    ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrits et connectés à la création initiale du sujet peuvent effectuer ces manipulations. /!\


    bon vent
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS