gomeo+security tool ...ça revient sans cesse Fermé

Question

Bonjour, comme d'autres internautes , j'ai attrapé ces 2 bestioles , dans la journée d'hier je pense ... je m'en suis rendu compte en voulant ouvrir des pages depuis google , ça me redirigeait vers des trucs bizarres dont "gomeo" .(seuls mes pages marquées fonctionnaient) comme d'habitude , j'ai essayé de me débrouiller seul grace à ce forum notament : spybot puis antivir puis malwarebytes, les 3 remis à jour . quelques trucs de détectés que j'ai supprimés . Ce matin : gros bug sécurity tool (que j'avais repéré hier soir) m'empèchait toute action. J'ai téléchagé depuis mon ordi portable "roguekiller .exe" ce qui m'a permis de relencer une désinfection complète avec malwarebytes. Encore de trucs (11) de trouvés , je vous mets le rapport : Processus mémoire infecté(s): 1 Module(s) mémoire infecté(s): 1 Clé(s) du Registre infectée(s): 2 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 6 Processus mémoire infecté(s): F:\WINDOWS\system\dwm.exe (Trojan.Backdoor) -> Unloaded process successfully. Module(s) mémoire infecté(s): F:\WINDOWS\wdmpcix.dll (Trojan.Hiloti) -> Delete on reboot. Clé(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\darkness (Trojan.Backdoor) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DARKNESS (Trojan.Backdoor) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ahayuyodeg (Trojan.Hiloti) -> Delete on reboot. Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): F:\WINDOWS\wdmpcix.dll (Trojan.Hiloti) -> Delete on reboot. F:\Documents and Settings\Administrateur\Application Data\Adobe\plugs\KB1108503.exe (Trojan.Hiloti) -> Quarantined and deleted successfully. F:\Documents and Settings\Administrateur\Local Settings\Application Data\56728.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully. F:\Documents and Settings\Administrateur\Application Data\Adobe\plugs\KB1146308.exe (Trojan.Agent) -> Quarantined and deleted successfully. F:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully. F:\WINDOWS\system\dwm.exe (Trojan.Backdoor) -> Quarantined and deleted successfully. je pensais avoir gagné , je vais donc sur le net 2 fois à partir de google , la première fois ok , puis la 2° rebelotte !! en recherchant des infos sur ce site j'ai vu que certains conseillaient un scan en ligne ; j'ai donc lancé depuis 2h bitdefender en ligne , qui pour l'instant ne trouve rien ... ce qui m'inquiète un peu c'est que le problème est repéré , sensé etre éliminé , mais revient ... je ne suis pas une tete en informatique et essaie le + possible de me dépatouiller seul avec les forums variées , mais là je cale ... je n'ose pas demander un "helper" bienveillant pour me guider vers LA solution ; si l'un d'entre vous en a le courage , je n'ai rien contre . et s'il faut payer un antivirus (je suis avec antivir gratuit) pour me "dé-prendre la tete" de ce problème je veux bien mais est-ce que ce sera suffisant et lequel choisir ??? merci d'avance de votre aide et je réponds TRES rapidement aux messages !! Configuration: Windows XP / Internet Explorer 6.0 Windows XP / Firefox 3.6.12

Utilisateur anonyme · Answer

bonjours, je vais me charger de toi si tu le veux.

pour avoir une vue d'ensembles des infections présentes, utilise ceci:

   Redémarre ton pc en mode sans échec avec prise en charge réseau
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php           

 puis, fais ceci: 

                ----->ZHPDIAG<-----

/!\ utilisateur de vista et seven, désactiver l'UAC./!\

/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\

>  Télécharge zhpdiag (de Nicolas Coolman)

> Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

>  /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

> Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

>attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

>  Héberge le rapport ZHPDiag.txt sur cijoint, puis copie/colle le lien fourni                                          dans ta prochaine réponse sur le forum.

k-meric · Answer

merci de t'occuper de moi !

une question pour commencer : que dois-je faire avec bitdefender online lancé depuis plus de 2 h maintenant ? (il me dit avoir trouvé 7 virus ...) reste 4h30 selon lui ... 

tiens , une autre question (bete je crois ...) mode sans echec , c'est F8 ?? 

je viens d'imprimer ta réponse pour ne pas faire de gaffe ... 

j'attends ta répons avant de stopper bitdefender !

merci

Utilisateur anonyme · Answer

pour le moment, tu stop tout, on va commencer par un diagnostique du pc, on verra quel outils tu utiliseras après. 

le mode sans echec, c'est bien F8 tu as ce lien pour t'aider: https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

une fois que le zhpdiag est fait, n'oublie pas de le mettre sur cjoint ou cijoint

@++

k-meric · Answer

ok merci je lance l'affaire , j'ai téléchargé zhpdiag , il est sur mon bureau ...

k-meric · Answer

re-salut ,
je suis bien en mode ss echec ... 
j'ai le rapport de zhp sur mon bureau mais impossible de le mettre sur le serveur "online" (erreur 500) ... 

c'est possible de l'ouvrir et de le copier sur le forum ? 

... je reviens à 14h50 , je dois déposer mon fils au sport ...

merci

Utilisateur anonyme · Answer

le rapport est trop grand pour etre mis ici directement, passe par celui ci: https://www.cjoint.com/

k-meric · Answer

ok , c'est encore moi ...

j'avais pas vu qu'il y avait 2 possibilités d'héberger le rapport ...voiçi donc l'adresse de mon rapport :

	https://www.cjoint.com/?0lBo6KLmBPQ 

merci encore de regarder !

Utilisateur anonyme · Answer

ok, pendant que je lis ton rapport, toi, tu vas lire ceci: https://www.cjoint.com/c/2kqmybfixvQ 

quand j'aurais fini avec ton rapport, je t'indiquerais que faire.

k-meric · Answer

ok merci , j'y vais m'ssieur !

k-meric · Answer

ou là là !! en plus il est contagieux mon problème !!??!!   :-))

Utilisateur anonyme · Answer

la, je dis WHAO!! 

alors, pas de trace de sécurity tool, il n'est pas sur ton pc mais, tu es infecter par des rootkit... 

Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). 

pour le supprimer:

* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux!


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\INSTALLES LA CONSOLE DE RECUPERATION 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.



@++

k-meric · Answer

ok merci , je vais lire le sujet combofix sur le 1° site et je tente ce que tu dis .

je vais monter mon ordi portable (non infesté ) à coté de moi pour etre sur de ne pas faire de boulette et ça me permettra de commenter ce qui se passe en cas de pb 

merci

k-meric · Answer

ok , combofix.exe sur le bureau , je suis tjrs en mode sans echec, j'ai débranché mon cable de ma 9box ...et je n'arrive pas à suspendre antivir !...

je cherche mais si tu es + rapide que moi ...

merci !

Utilisateur anonyme · Answer

en bas a droite, tu dois avoir l'icône de antivir, clique droit et désactiver.

k-meric · Answer

chui con ... ds le poste de T , ya le control center ... 
tiens , c'est bizarre , antivir guard est hors service (croix rouge) ...

k-meric · Answer

problème : d'après combofix antivirdesktop est actif ... 
j'essaie de désactiver à partir du control center mais je ne trouve pas le bouton on/off !!

Utilisateur anonyme · Answer

désactiver antivir:

- soit de double-cliquer sur le raccourci bureau Avira AntiVir Control Center.

- soit d'aller dans le menu Démarrer | Programmes | Avira | AntiVir Desktop | Démarrer AntiVir pour ouvrir le Control Center.

- soit d'aller dans C:\Program Files\Avira\AntiVir Desktop et double-cliquez sur avcenter.exe pour ouvrir le Control Center d'AntiVir.

tu pourras alors désactiver le Guard.

k-meric · Answer

j'arrive sans problème sur la fenetre du desktop mais impossible de trouver comment le désactiver jai' en apercu de l'état :

antiivirguard       service      démarrer    (on dirait qu'il est déjà off!) 
dernière mise à jour ......      ........
produit activé   1/9/2011
dernier controle syst intégral  etc .....

Utilisateur anonyme · Answer

tu es toujours en mode sans echec? si oui, tu peux passer a combofix sans te soucier de ce qu'il dit, avira comme tout antivirus ne s'active pas en mode sans echec, ignore le message et lance combofix.

k-meric · Answer

ok c'est parti !

k-meric · Answer

joli bleu ... c'est sympa , il m'a dit que c'était à mes risque et périls !

il s'apprète à démarrer 
tente de faire un point de restauration ...

k-meric · Answer

aie ... console de récupération non installée 
connexion internet indispensable ...

k-meric · Answer

mode sans echec prise ne charge réseau , il m'a bien telechargé la console , m'a redemandé de vérifier la désactivation d'antivir 
il a détecté la présence de rookit et vient de redémarrer , je le repasse en mode ss ech

k-meric · Answer

mode sans echec .... en echec ...j'essaie le mode normal .... écran bleu ...problème ... je retente , ok ça démarre !

Utilisateur anonyme · Answer

ok, on arrête tout, tu fais exactement ce que je te dis: 

tu démarres en mode sans echec PRISE EN CHARGE RÉSEAUX 
tu lance combofix, si il te dit de désactiver avira etc... tu t'en fous.
tu installe la console de récupération
tu le laisse travailler
tu me postes le rapport trouver. 

rien d'autre.

k-meric · Answer

entre temps , j'ai eu quelques sueurs froides ... (j'ai plus un ongle en état !!) 

ça a redémarré en "normal" , combo a fini son boulot a voici le rapport (je te "parle" depuis la machine infectée ) 

	https://www.cjoint.com/?0lBqRULdRI5

pour info , le pb de redirection est tjrs là ...; (je viens d'essayer par curiosité ) 

j'attends ton verdict et merci d'avance (faudra que tu me donnes tes coordonnées ...)

k-meric · Answer

je viens d'avoir un msg d'un "afideg" qui n'apparait pas sur le forum :

l'age de mon pc  ???? ben , j'en sais trop rien (amd duron 1,2 G , 1G de ram et 2 disques durs ) mais pour ce que j'en fais (pack office+internet) ça me suffit et il marche correctement ... 
en fait , c'est moi qui l'ai assemblé à partir d'un autre voici quelques années et ça fait bien longtemps que je n'ai pas eu de problèmes comme celui çi ... (ça ferait longtemps que j'aurais changé sinon !)

k-meric · Answer

en me "promenant" sur le net j'ai trouvé des anti-rootkit , dont "sophos anti rootkit" ...(sur clubic.com) 
savez vous ce que ça vaut ? 

je vais attendre les conseils de mon "helpeur" en attendant...

Utilisateur anonyme · Answer

re, vu que combofix est un outils puissant, il me faudrait un nouveaux zhpdiag maintenant stp, suis ceci: https://forums.commentcamarche.net/forum/affich-19967699-gomeo-security-tool-ca-revient-sans-cesse#1

@++

k-meric · Answer

ok je recommence ce zhpdiag

k-meric · Answer

a-y-est :

http://www.cijoint.fr/cjlink.php?file=cj201011/cijfvdM9RQ.txt

c'est grave docteur?

k-meric · Answer

pour lyonnais 92 ...

pas très légitime en effet ma version de windows ... mais jusqu'a présent j'avais moins de pb que les autres ...
mes précédentes versions étaient légitimes ...

Utilisateur anonyme · Answer

plusieurs choses:

1/ Lyonnais92 exact, je viens de voir après ton poste que, en effet, la version de windows est pas officiel et, k-meric confirme.

2/ si un helper veut reprendre, je lui laisse la place, je ne désinfectes pas les windows non officiel pour ma part pour les raisons ci contre: https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows#pourquoi-ne-faut-il-pas-utiliser-ces-versions-piratees

bonne soirée.

k-meric · Answer

ok je comprends ....
désolé de t'avoir fait perdre ton temps ... 

bonne soirée  de meme

k-meric · Answer

je reste à "l'antenne" , mais je respecte le jeux ...

je joue , je perds ....

Lyonnais92 · Answer

Bonsoir,

de toute manière, si on fait le bilan :

- combofix n'a pas été capable de supprimer l'infection dans ton cas

- 2 (et probablement 3)  fichiers essentiels sont "patchés"

- il semble ne pas y avoir d'autres versions de ces fichiers sur ton ordi.

Conséquence : sauvegarde des données persos et formatage semblent la solution la plus simple.

k-meric · Answer

bonsoir ,
et merci de t'intéresser à mon pb ...
je teste en ce moment le sophos anti rootkit mais s'il manque des fichiers importants à mon "windows" , ça n'a pas beaucoup de chance de coller !...

je vais donc passer par la case formatage ; je vais essayer d'écraser ma version xp actuelle en la réinstallant par dessus ; mais malgré mes 2 disques durs , faut que je sauvegarde ...

merci encore 

ps : qu'entends tu par "patchés" ?

Lyonnais92 · Answer

Re,

ces fichiers sont "modifiés" par l'infection.

Ils doivent être remplacés par un fichier sain. Le remplacement ne peut pas s'effectuer quand le Windows infecté est en cours d'exécution (donc replacement "au reboot" ou en console ou sur un OS en live CD).

k-meric · Answer

merci du renseignement, je vais me renseigner pour faire cet manip , ça fait longtemps que je ne l'ai pas faite ...

Gomeo+security tool ...ça revient sans cesse

39 réponses

Discussions similaires