> Tous les forums > Forum Sécurité
 Infectée par "Tuto GIMP" télécharger sur 01net.comSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Jacquote13
  Posté le 14/05/2012 @ 10:24 
Aller en bas de la page 
Petite astucienne

Bonjour

Ce matin je télécharge le logiciel "GIMP" sur ce site qui est pourtant (en apparence) sérieux

http://www.01net.com/telecharger/windows/Multimedia/photo_numerique/fiches/5245.html

J'en profite pour télécharger le tuto sur le même lien, et j'installe ce dernier. A partir de ce moment il y a toutes les 2 ou 3 secondes une fenêtre de publicité qui s'ouvre (infernal).

Je désinstalle ce tuto et passe un coup de Ccleaner, les fenêtres n'apparaissent plus Mais j'ai un doute, je passe alors Malwarebyte (à jour) dont voici le rapport d'infection

Merci de votre aide

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.14.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
jacqueline
PC-JACKOTE [administrateur]

14/05/2012 09:33:22
mbam-log-2012-05-14 (09-33-22).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 199754
Temps écoulé: 6 minute(s), 52 seconde(s)

Processus mémoire détecté(s): 4
C:\Users\jacqueline\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\autoupdater.exe (Trojan.Eorezo) -> 2752 -> Suppression au redémarrage.
C:\Program Files (x86)\Agence-Exclusive\pctuto.exe (PUP.Tuto4PC) -> 3368 -> Suppression au redémarrage.
C:\Program Files (x86)\Agence-Exclusive\pctuto.exe (Trojan.Eorezo) -> 3368 -> Suppression au redémarrage.
C:\Users\jacqueline\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\autoupdater.exe (PUP.Tuto4PC) -> 2752 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 7
HKCR\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E} (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKCR\PCTutoBHO.PCTBHO.1 (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKCR\PCTutoBHO.PCTBHO (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA} (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78} (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PCTuto_is1 (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|autoupdater (Trojan.Eorezo) -> Données: C:\Users\jacqueline\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\autoupdater.exe -runonce -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|pctuto (PUP.Tuto4PC) -> Données: "C:\Program Files (x86)\Agence-Exclusive\pctuto.exe" -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|pctuto (Trojan.Eorezo) -> Données: "C:\Program Files (x86)\Agence-Exclusive\pctuto.exe" -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|autoupdater (PUP.Tuto4PC) -> Données: C:\Users\jacqueline\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\autoupdater.exe -runonce -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 2
C:\Program Files (x86)\Agence-Exclusive (Trojan.Eorezo) -> Suppression au redémarrage.
C:\Users\jacqueline\AppData\Roaming\Agence-Exclusive\Agence-Exclusive (PUP.Tuto4PC) -> Suppression au redémarrage.

Fichier(s) détecté(s): 15
C:\Users\jacqueline\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\autoupdater.exe (Trojan.Eorezo) -> Suppression au redémarrage.
C:\Program Files (x86)\Agence-Exclusive\pctuto.exe (PUP.Tuto4PC) -> Suppression au redémarrage.
C:\Program Files (x86)\Agence-Exclusive\pctutoBHO.dll (Adware.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\jacqueline\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\UpdatePCTuto.exe (PUP.Tuto4PC) -> Mis en quarantaine et supprimé avec succès.
C:\Users\jacqueline\AppData\Desktop\tuto_gimp.exe (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\jacqueline\AppData\Local\Temp\ins92EC.tmp.exe (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\jacqueline\AppData\Local\Temp\ins92EC.tmp.exe_t.exe (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Agence-Exclusive\ConfMedia.cyp (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Agence-Exclusive\pctuto.exe (Trojan.Eorezo) -> Suppression au redémarrage.
C:\Program Files (x86)\Agence-Exclusive\unins000.dat (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Agence-Exclusive\unins000.exe (Trojan.Eorezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\jacqueline\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\user_config.cyp (PUP.Tuto4PC) -> Mis en quarantaine et supprimé avec succès.
C:\Users\jacqueline\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\autoupdater.exe (PUP.Tuto4PC) -> Suppression au redémarrage.
C:\Users\jacqueline\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\shared.cyp (PUP.Tuto4PC) -> Mis en quarantaine et supprimé avec succès.
C:\Users\jacqueline\AppData\Roaming\Agence-Exclusive\Agence-Exclusive\user_profil.cyp (PUP.Tuto4PC) -> Mis en quarantaine et supprimé avec succès.

(fin)

Publicité
le tarbais
 Posté le 14/05/2012 à 10:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

y.bli
 Posté le 14/05/2012 à 10:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

Tu as été infecté par le PUP (logiciels potentiellement indésirables) Eorezo que l'on contracte souvent en ce moment par des téléchargements, entre autres sur 01.net.

Normalement Malwarebytes l'éradique et c'est ce que tu as fait. Tu pourras supprimer la quarantaine mais si tu constatais que ce n'était pas suffisant, effectue la procédure décrite ici : (https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm) et un membre patenté de cette section du forum te prendra en charge.

@+



Modifié par y.bli le 14/05/2012 10:51
nardino
 Posté le 14/05/2012 à 11:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Voici ce dont tu as été victime.

Tutoriel tuto4pc

Tuto4PC Security-X

Tuto4pc: Le nouveau cheval de Troie d'eoRezo

Malwarebytes t'en a débarassé.

@+

Jacquote13
 Posté le 14/05/2012 à 12:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Merci à vous tous

Dans le doute je préfère passer ce logiciel en attendant votre réponse de ce que je dois faire

Fichier joint : ZHPDiag.txt



Modifié par Jacquote13 le 14/05/2012 12:19
nardino
 Posté le 14/05/2012 à 15:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7.

image


Elle a été créée lors de l'installation de ZHPDiag.
image Copie le contenu de l'encadré ci-dessous dans le presse-papier.

Code

[HKLM\Software\WOW6432Node\Classes\AppID\PCTutoBHO.DLL]
[HKLM\Software\WOW6432Node\Classes\AppID\{759F1421-4D31-4c1f-8C51-E4956A037676}]
[HKCU\Software\Agence-Exclusive]
[HKLM\Software\WOW6432Node\Agence-Exclusive]
[HKCU\Software\PCTuto]
[HKLM\Software\WOW6432Node\PCTuto]
C:\Users\jacqueline\AppData\Roaming\Agence-Exclusive
C:\Users\jacqueline\AppData\Local\Agence-Exclusive
Emptytemp
EmptyFlash



image Clique sur le bouton Presse-papier encadré en rouge sur l'image.
Les lignes contenues dans le presse-papier vont s'afficher.
image Clique sur le bouton GO en bas à gauche.
Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil par la croix rouge en haut à doite.

image
image Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.

image

image Remarque.
Renomme le fichier ZHPFixReport en ajoutant 1 par exemple, avant de relancer l'outil en cas de nécessité.

image Nettoyage
Pour nettoyer les outils, ouvre ZHPFix et clique sur l'icône A rouge - nettoyeur d'outils et clique sur le bouton Nettoyer.
Supprime le rapport ZHPFixReport.txt enregistré sur le bureau après me l'avoir communiqué.

image **Passe la question en résolu**

@+

Jacquote13
 Posté le 14/05/2012 à 20:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir "Nardino"

Merci, voici le rapport comment je fais pour supprimer les 3 fichiers de ZHPDiag

Rapport de ZHPFix 1.2.05 par Nicolas Coolman, Update du 30/04/2012
Fichier d'export Registre :
Run by jacqueline at 14/05/2012 20:08:23
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\AppID\PCTutoBHO.DLL
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\AppID\{759F1421-4D31-4c1f-8C51-E4956A037676}
SUPPRIME Key*: HKCU\Software\Agence-Exclusive
SUPPRIME Key*: HKLM\Software\WOW6432Node\Agence-Exclusive
SUPPRIME Key*: HKCU\Software\PCTuto
SUPPRIME Key*: HKLM\Software\WOW6432Node\PCTuto

========== Dossier(s) ==========
SUPPRIME Folder: c:\users\jacqueline\appdata\roaming\agence-exclusive
SUPPRIME Folder: c:\users\jacqueline\appdata\local\agence-exclusive
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
6 : Clé(s) du Registre
4 : Dossier(s)
2 : Fichier(s)


End of clean in 00mn 10s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 14/05/2012 20:08:23 [1228]



Modifié par Jacquote13 le 14/05/2012 20:13
nardino
 Posté le 14/05/2012 à 22:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

Tu sélectionnes les fichiers et tu les supprimes simplement.

@+

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Télécharger sur 01net : un danger pour les ordis
Télécharger depuis 01net
Zhpdiag ne veut pas se télécharger ?
telecharger sur PC Astuces
Ou télécharger Movie Maker ?
clé usb infectée
Télécharger en tout sécurité
Site pro.01net.com à proscrire ?
Impossible telecharger CB virtuelle avec Firefox
où telecharger blockulicious
Plus de sujets relatifs à Infectée par "Tuto GIMP" télécharger sur 01net.com
 > Tous les forums > Forum Sécurité