detournement page d'accueil (EoRezo)

[fabou4]

bonjour à tous

 

j'ai acheté un pc d'occasion avec (comme cadeau !) ... un détournement automatique de page d'accueil IE.

ça a l'air assez classique : tous les quarts d'heure, la page par défaut se remet à www.lo.st

 

voici mon scan hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:48:03, on 03/11/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\EoRezo\EoEngine.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

E:\HiJackThis.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lo.st

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwa...ash/swflash.cab

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

 

--

End of file - 3255 bytes

 

Je voulais essayer de me débrouiller tout seul : dois-je fixer les lignes que j'ai mises en gras, ci dessus ?

Mais bon, je préfère vous demander conseil... (comme écrit, le mal pourrait être pire que le remède)

 

cordialement;

 

nb : un GRAND merci aux personnes de ce forum qui aident les autres (pas que moi)

[Falkra]

Bonjour,

 

ca ne suffira pas.

 

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

• Double-clique maintenant sur le fichier téléchargé.
  
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  
• Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche.
  
• Poste le rapport généré. (C:\TB.txt)
  

[fabou4]

bonjour falkra

 

désolé pour la réponse bien tardive !

comme tu me l'as demandé, voici le rapport toolbar :

 

 

 

-----------\\ ToolBar S&D 1.2.4 XP/Vista

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 1

X86-based PC ( Uniprocessor Free : Intel® Pentium® 4 CPU 1.90GHz )

BIOS : 686O1 v1.07

USER : proprietaire ( Administrator )

BOOT : Normal boot

C:\ (Local Disk) - NTFS - Total:9 Go (Free:5 Go)

D:\ (CD or DVD)

E:\ (USB) - FAT32 - Total:993 Mo (Free:0 Go)

 

"C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )

Option : [1] ( 10/11/2008|10:31 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\System32\\blank.htm"

"Start Page"="http://www.lo.st"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

 

 

--------------------\\ Recherche d'autres infections

 

 

Aucune autre infection trouvée !

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 10/11/2008|10:32 - Option : [1]

 

-----------\\ Fin du rapport a 10:32:03,26

 

 

merci de ton aide !!!!!!!

[Falkra]

Pas de problème, pour les délais.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

[fabou4]

merci falkra

 

j'essaie ça ce mercredi

 

à bientôt.

[fabou4]

Bonjour falkra

 

voici le rapport MBAM

Malwarebytes' Anti-Malware 1.30

Version de la base de données: 1306

Windows 5.1.2600 Service Pack 1

 

12/11/2008 12:37:14

mbam-log-2008-11-12 (12-37-14).txt

 

Type de recherche: Examen rapide

Eléments examinés: 50782

Temps écoulé: 24 minute(s), 9 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Program Files\EoRezo (Rogue.Eorezo) -> Delete on reboot.

 

 

 

cependant malgré le reboot, ça n'a rien effacé.

j'ai relancé mbam ; j'ai rebooté ; idem rien n'a changé

 

alors (comme je n'ai pas tjs accès à ce PC) j'ai fait une recherche pour essayer de l'en sortir et je suis tombé sur ST_Fix_Beta.bat de batchman, j'ai lancé et là ça a l'air correct : le detournement est neutralisé.

 

dois-je mettre résolu ?

 

cordialement;

Modifié le 18 novembre 2008 par fabou4

[oGu]

Yo à vous tous!

 

Comme je me renseigne actuellement sur ce petit fix: peux-tu fabou4 nous poster le rapport qu'il a fourni après avoir travaillé?

 

Désolé Falkra, tu me pardonneras mon post au milieu de ta prise en charge !

[fabou4]

voici le rapport Ogu !

 

///// ST_Fix \\\\\

 

 

Debut le 18/11/2008 a 12:50:16,39

 

Option [2] - Internet Explorer

 

///// Internet Explorer \\\\\

 

Valeur de la page de demarrage avant desinfection : http://lo.st#

Valeur de la page de demarrage apres desinfection : http://www.google.fr

 

Valeur de la page de Tabs avant desinfection : http://www.lo.st/?tabs

Valeur de la page de Tabs apres desinfection : res://ieframe.dll/tabswelcome.htm

 

Fin du Rapport le 18/11/2008 a 12:50:20,53

 

**************** Fin ****************

[Falkra]

Fabou4, il faut choisir, soit tu fais tout seul, soit tu te fais aider sur un forum...

 

Choisis.

[fabou4]

Aie, je voulais pas te froisser... mais en fait, tu as raison :

 

J'avais écrit que c'est un PC que j'avais acheté. Que j'avais acheté pour qqun !!! Or je n'ai pas l'occasion d'allez souvent chez lui ! donc comme MBAM n'a pas marché quant à la suppression du rogue EoRezo, je me suis dit que plutôt qu'attendre plusieurs jours et t'embêter avec des allez-retour de message à plusieurs JOURS d'intervalles, j'allais essayer de faire avancer le schmilblik tout seul ! (j'ai marqué "t'embêter" car c'est sûr qu'on vous ennuie avec des mauvaises manip stupides ou des incompréhensions de trucs simples, déjà que vous faîtes tous ça BENEVOLEMENT)

 

désolé. ya des fois où on croit bien faire(moi aussi , à mon niveau je rends service à propriétaire du PC) et finalement c'est pas le cas.

 

En tout cas, MERCI BCP pour ton aide, falkra !