Problèmes avec Eo.St

[igla]

Bonjour,

 

 

Je marche sous Windows 2000, et après avoir bêtement télécharger un logiciel sur eorezo.com , le site Eo.st m'apparait toutes les 15 minutes et c'est aussi ma page d'accueil de Mozilla Firefox, j'ai déjà un peu chercher, J'ai télécharger Navilog1 et Hijackthis, mais je n'arrive pas à obtenir un rapport de ToolBar S&D. Pouvez-vous me guider et m'aider un peu, je suis jeune et pas très en informatique, j'ai donc un peu de mal.

 

 

Voici le Rapport HiJackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:15:27, on 31/08/2008

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINNT\System32\nvsvc32.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\Mixer.exe

C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINNT\system32\internat.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe

C:\WINNT\system32\wuauclt.exe

C:\WINNT\NOTEPAD.EXE

C:\WINNT\system32\rundll32.exe

C:\Documents and Settings\LEBLANC\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [itsTV] "C:\Program Files\ItsLabel\ItsTV.exe"

O4 - HKLM\..\RunOnce: [TSC] "C:\PROGRA~1\TRENDM~1\INTERN~1\tsc.exe" /HD

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1216984596312

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1220041106125

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

 

--

End of file - 6095 bytes

 

 

 

Rapport Navilog1 :

 

Search Navipromo version 3.6.5 commencé le dim. 31/08/2008 à 20:00:30,15

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "LEBLANC"

 

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

 

 

Microsoft Windows 2000 [Version 5.00.2195]

Internet Explorer : 6.0.2800.1106

 

Recherche executé en mode normal

 

 

*** Recherche dossiers dans "C:\WINNT" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

 

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\LEBLANC\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\LEBLANC\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\LEBLANC\menudm~1\progra~1" ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\WINNT\system32" *

 

* Recherche dans "C:\Documents and Settings\LEBLANC\locals~1\applic~1" *

 

gnc.exe absent, Recherche non effectuee dans "C:\Documents and Settings\LEBLANC\locals~1\applic~1" !

 

 

 

*** Recherche fichiers ***

 

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\WINNT\system32" :

 

 

* Dans "C:\Documents and Settings\LEBLANC\locals~1\applic~1" :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le dim. 31/08/2008 à 20:03:36,06 ***

[Gof]

Bonsoir igla

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

 

------------

 

Relance un scan HijackThis

• Clique sur Do a system scan only et coche les lignes ci-dessous :
  

• O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
  

• Ferme toutes les fenêtres sauf HijackThis et Fix Checked.
  

 

 

 

Télécharge OTMoveIt2 par OldTimer.

• Enregistre ce fichier sur le Bureau.
  
• Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil.
  
• Copie-colle la ligne de la zone "Code" ci-dessous dans dans la zone "Paste List of Files/Folders to Move"
  

  C:\Program Files\EoRezo
  EmptyTemp

  
  

• Cliquer sur le bouton rouge Moveit!.
  
• Copie-colle tout ce qui se trouve dans la zone Results en réponse sur le forum.
  
• Fermer OTMoveIt2
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

 

Redémarre le pc, et dis moi si le souci persiste, même après avoir redéfini ta page de démarrage sous Firefox. Tu peux désinstaller Navilog, il ne nous est pas utile dans ce cas de figure.

 

Parfois EoRezo et Eo.St sont assez collants. On approfondira si c'est nécessaire.

[igla]

J'ai suivi à la lettre tout ce que tu m'as dis, mais je ne sais pas changer la page de démarrage de Firefox, voici le rapport de OtMoveit2 :

 

 

C:\Program Files\EoRezo\EoAdv moved successfully.

C:\Program Files\EoRezo moved successfully.

< EmptyTemp >

File delete failed. C:\DOCUME~1\LEBLANC\LOCALS~1\Temp\etilqs_y2UqkmM3PvvtXvaRGay9 scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\LEBLANC\LOCALS~1\Temp\~DFCDBC.tmp scheduled to be deleted on reboot.

Temp folders emptied.

IE temp folders emptied.

 

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09012008_110752

 

Files moved on Reboot...

File C:\DOCUME~1\LEBLANC\LOCALS~1\Temp\etilqs_y2UqkmM3PvvtXvaRGay9 not found!

C:\DOCUME~1\LEBLANC\LOCALS~1\Temp\~DFCDBC.tmp moved successfully.

 

 

Quand j'ai redémarrer mon PC, puis firefox, c'est eo.st qui m'est tombé sous le nez

 

Merci de ton aide .

Modifié le 1 septembre 2008 par igla

[igla]

up

[bowgly]

Bonjour Gof,

J'ai le même problème que igla.

Lorsque j'ouvre un nouvel onglet d' IE7 c'est une page contenant le moteur de recherche " eo.st" qui s'affiche.

Dans les options internet quand je clic sur page actuelle il me donne l'adresse de ma page d'acceuil(1er onglet) et dessous "about:Tabs" pour nommer la page d' eo.st.(2ème onglet)

Pas moyen de supprimer cette page qui c'est invitée lors d'un téléchargement sur Eorezo.

[igla]

UP

[Falkra]

Igla, patiente un peu, sinon envoie un MP (message privé à Gof).

Bowgly, créé ton propre sujet stp.

 

Bonne soirée.

[Gof]

Bonsoir tout le monde, igla

 

 

Navré du délai excessif, semaine chargée et peu de disponibilités pour moi. Merci de ta patience.

 

Télécharge regscanner sur ton bureau.

• Double-clique sur le fichier obtenu afin de lancer l'installation.
  
• Une fenêtre va s'ouvrir, clique sur install
  
• Une fois installé, exécute le depuis le raccourci du menu démarrer.
  
• Une fenêtre Registry scan options va s'ouvrir.
  
• Dans "find string" tape "eo.st" (sans les guillemets).
  
• En bas à droite dans Scan the following base keys, sélectionne-les toutes.
  
• Enfin, clique sur ok.
  

 

Laisse travailler. Lorsque la recherche est finie, sélectionne tout (EDIT>Select All), sauvegarde ce rapport dans un fichier texte sur ton bureau et poste enfin le contenu de ce rapport dans ta prochaine réponse.

 

A bientôt.

[igla]

Il n'a absolument rien trouvé

[Gof]

Bonjour igla

 

Il n'a absolument rien trouvé

Curieux.

 

Sous Firefox, rends toi sur la page que tu souhaites avoir au démarrage.

• Copie-colle le lien de cette dernière.
  
• Clique sur Outils dans le menu Firefox, puis sur Options
  
• Une nouvelle fenêtre va s'ouvrir, clique sur l'onglet Général
  
• Et dans l'invite Page d'Accueil, copie-colle ton lien
  
• Valide par Ok.
  

 

Redémarre Firefox, et dis moi si le souci est toujours présent.

 

 

Puis télécharge le fichier suivant : 1.bat sur ton bureau.

• Double-clique dessus afin de l'exécuter.
  
• Cela sera très rapide, le Bloc-notes va s'ouvrir avec un rapport.
  
• Poste le contenu de ce rapport à la suite.
  

 

A bientôt.