Gomeo+security tool ...ça revient sans cesse

k-meric Messages postés 27 Statut Membre -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

comme d'autres internautes , j'ai attrapé ces 2 bestioles , dans la journée d'hier je pense ...
je m'en suis rendu compte en voulant ouvrir des pages depuis google , ça me redirigeait vers des trucs bizarres dont "gomeo" .(seuls mes pages marquées fonctionnaient)
comme d'habitude , j'ai essayé de me débrouiller seul grace à ce forum notament : spybot puis antivir puis malwarebytes, les 3 remis à jour .
quelques trucs de détectés que j'ai supprimés .
Ce matin : gros bug sécurity tool (que j'avais repéré hier soir) m'empèchait toute action.
J'ai téléchagé depuis mon ordi portable "roguekiller .exe" ce qui m'a permis de relencer une désinfection complète avec malwarebytes.
Encore de trucs (11) de trouvés , je vous mets le rapport :

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
F:\WINDOWS\system\dwm.exe (Trojan.Backdoor) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
F:\WINDOWS\wdmpcix.dll (Trojan.Hiloti) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\darkness (Trojan.Backdoor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DARKNESS (Trojan.Backdoor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ahayuyodeg (Trojan.Hiloti) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
F:\WINDOWS\wdmpcix.dll (Trojan.Hiloti) -> Delete on reboot.
F:\Documents and Settings\Administrateur\Application Data\Adobe\plugs\KB1108503.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
F:\Documents and Settings\Administrateur\Local Settings\Application Data\56728.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
F:\Documents and Settings\Administrateur\Application Data\Adobe\plugs\KB1146308.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
F:\WINDOWS\system\dwm.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.


je pensais avoir gagné , je vais donc sur le net 2 fois à partir de google , la première fois ok , puis la 2° rebelotte !!

en recherchant des infos sur ce site j'ai vu que certains conseillaient un scan en ligne ; j'ai donc lancé depuis 2h bitdefender en ligne , qui pour l'instant ne trouve rien ...

ce qui m'inquiète un peu c'est que le problème est repéré , sensé etre éliminé , mais revient ...

je ne suis pas une tete en informatique et essaie le + possible de me dépatouiller seul avec les forums variées , mais là je cale ...
je n'ose pas demander un "helper" bienveillant pour me guider vers LA solution ; si l'un d'entre vous en a le courage , je n'ai rien contre .

et s'il faut payer un antivirus (je suis avec antivir gratuit) pour me "dé-prendre la tete" de ce problème je veux bien mais est-ce que ce sera suffisant et lequel choisir ???

merci d'avance de votre aide et je réponds TRES rapidement aux messages !!



<config>Windows XP / Firefox 3.6.12</config

39 réponses

  • 1
  • 2
Résumé de la discussion

Une infection multiple par des malwares (Trojan.Backdoor, Trojan.Hiloti, Rogue.SecurityTool) est signalée sur Windows XP, provoquant des redirections Google et des comportements suspects après l'installation de RogueKiller et des scans avec Malwarebytes.
Plusieurs intervenants recommandent de passer en mode sans échec et d'établir un diagnostic avec des outils dédiés, puis d'utiliser ZHPDiag et des scans en ligne pour identifier les éléments infectés et les isoler.
Des incertitudes subsistent quant à l'efficacité des scans en ligne, Bitdefender en ligne n'ayant rien détecté pour l'instant, et certains évoquent un antivirus payant ou une démarche plus approfondie pour éviter une réinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    bonjours, je vais me charger de toi si tu le veux.

    pour avoir une vue d'ensembles des infections présentes, utilise ceci:

    Redémarre ton pc en mode sans échec avec prise en charge réseau
    https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

    puis, fais ceci:

    ----->ZHPDIAG<-----

    /!\ utilisateur de vista et seven, désactiver l'UAC./!\

    /!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\

    > Télécharge zhpdiag (de Nicolas Coolman)

    > Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    > /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

    > Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

    >attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

    > Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

    > Héberge le rapport ZHPDiag.txt sur cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
    0
  2. k-meric Messages postés 27 Statut Membre
     
    merci de t'occuper de moi !

    une question pour commencer : que dois-je faire avec bitdefender online lancé depuis plus de 2 h maintenant ? (il me dit avoir trouvé 7 virus ...) reste 4h30 selon lui ...

    tiens , une autre question (bete je crois ...) mode sans echec , c'est F8 ??

    je viens d'imprimer ta réponse pour ne pas faire de gaffe ...

    j'attends ta répons avant de stopper bitdefender !

    merci
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. k-meric Messages postés 27 Statut Membre
     
    ok merci je lance l'affaire , j'ai téléchargé zhpdiag , il est sur mon bureau ...
    0
  5. k-meric Messages postés 27 Statut Membre
     
    re-salut ,
    je suis bien en mode ss echec ...
    j'ai le rapport de zhp sur mon bureau mais impossible de le mettre sur le serveur "online" (erreur 500) ...

    c'est possible de l'ouvrir et de le copier sur le forum ?

    ... je reviens à 14h50 , je dois déposer mon fils au sport ...

    merci
    0
  6. k-meric Messages postés 27 Statut Membre
     
    ok , c'est encore moi ...

    j'avais pas vu qu'il y avait 2 possibilités d'héberger le rapport ...voiçi donc l'adresse de mon rapport :

    https://www.cjoint.com/?0lBo6KLmBPQ

    merci encore de regarder !
    0
  7. k-meric Messages postés 27 Statut Membre
     
    ok merci , j'y vais m'ssieur !
    0
    1. Utilisateur anonyme
       
      heu, j'ai quelques soucie avec mon pc là, je règles mes soucies et, je reviens de suite vers toi, je te répond dès que je le peux.
      0
    2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      What ?
      Il a quel âge ton PC ?
      Hi,hi.
      Avec toute ma sympathie.
      Al.
      0
  8. k-meric Messages postés 27 Statut Membre
     
    ou là là !! en plus il est contagieux mon problème !!??!! :-))
    0
    1. Utilisateur anonyme
       
      non, c'est mon frère qui a foutu la merde, pas de soucie.
      0
  9. Utilisateur anonyme
     
    la, je dis WHAO!!

    alors, pas de trace de sécurity tool, il n'est pas sur ton pc mais, tu es infecter par des rootkit...

    Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall).

    pour le supprimer:

    * /!\Avertissement :
    Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
    Ne pas utiliser en dehors de ce cas de figure : dangereux!


    /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
    https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
    ou ici :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    A lire
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :
    > Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    > Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
    Une fois fait, sur ton bureau double-clic sur Combofix.exe.
    /!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\INSTALLES LA CONSOLE DE RECUPERATION

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    > Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    > Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    @++

    0
  10. k-meric Messages postés 27 Statut Membre
     
    ok merci , je vais lire le sujet combofix sur le 1° site et je tente ce que tu dis .

    je vais monter mon ordi portable (non infesté ) à coté de moi pour etre sur de ne pas faire de boulette et ça me permettra de commenter ce qui se passe en cas de pb

    merci
    0
    1. Utilisateur anonyme
       
      pas de soucie mais, si tu suis ce que je t'ai dis, il n'y aura pas de soucie.
      c'est un outils puissant mais, pas de soucie si tu fais ce que je t'ai dis.
      0
  11. k-meric Messages postés 27 Statut Membre
     
    ok , combofix.exe sur le bureau , je suis tjrs en mode sans echec, j'ai débranché mon cable de ma 9box ...et je n'arrive pas à suspendre antivir !...

    je cherche mais si tu es + rapide que moi ...

    merci !
    0
  12. Utilisateur anonyme
     
    en bas a droite, tu dois avoir l'icône de antivir, clique droit et désactiver.
    0
  13. k-meric Messages postés 27 Statut Membre
     
    chui con ... ds le poste de T , ya le control center ...
    tiens , c'est bizarre , antivir guard est hors service (croix rouge) ...
    0
    1. Utilisateur anonyme
       
      peut importe, on verra ce après, la, combofix, il va nous supprimer de pas mal de truc déjà.
      0
  14. k-meric Messages postés 27 Statut Membre
     
    problème : d'après combofix antivirdesktop est actif ...
    j'essaie de désactiver à partir du control center mais je ne trouve pas le bouton on/off !!
    0
  15. Utilisateur anonyme
     
    désactiver antivir:

    - soit de double-cliquer sur le raccourci bureau Avira AntiVir Control Center.

    - soit d'aller dans le menu Démarrer | Programmes | Avira | AntiVir Desktop | Démarrer AntiVir pour ouvrir le Control Center.

    - soit d'aller dans C:\Program Files\Avira\AntiVir Desktop et double-cliquez sur avcenter.exe pour ouvrir le Control Center d'AntiVir.

    tu pourras alors désactiver le Guard.
    0
    1. Utilisateur anonyme
       
      tu es toujours en mode sans echec? si oui, tu peux passer a combofix sans te soucier de ce qu'il dit, avira comme tout antivirus ne s'active pas en mode sans echec, ignore le message et lance combofix.
      0
  16. k-meric Messages postés 27 Statut Membre
     
    j'arrive sans problème sur la fenetre du desktop mais impossible de trouver comment le désactiver jai' en apercu de l'état :

    antiivirguard service démarrer (on dirait qu'il est déjà off!)
    dernière mise à jour ...... ........
    produit activé 1/9/2011
    dernier controle syst intégral etc .....
    0
  17. Utilisateur anonyme
     
    tu es toujours en mode sans echec? si oui, tu peux passer a combofix sans te soucier de ce qu'il dit, avira comme tout antivirus ne s'active pas en mode sans echec, ignore le message et lance combofix.
    0
  18. k-meric Messages postés 27 Statut Membre
     
    ok c'est parti !
    0
    1. Utilisateur anonyme
       
      ok, je sais pas si je serais encore la quand tu auras le résultat, je dois sortir.
      dans tous les cas, dès que tu as le résultat, tu me le poste et, au pire, je te répondrais a mon retour.
      0
  • 1
  • 2