Virus Security Tool, "Gomeo" & co Fermé

Question

Bonjour, 

J'ai depuis une dizaine de jours des problèmes sur mon ordinateur. Tout d'abord, c'est un faux anti-virus qui s'est installé automatiquement - Security Tool - m'annonçant que mon ordinateur était infecté et ouvrant en permanence des messages d'alerte.
J'ai réussi à supprimer un fichier ".exe" et depuis je n'ai plus ni Security Tool ni les messages d'alerte, par contre l'ordinateur se bloque régulièrement nécessitant un redémarrage, des pages internet me sont bloquées (notamment celles qui nécessitent un mot de passe) et je subis des redirections inopinées sur des pages internet non souhaitées, notamment vers un site de recherche "Goméo" après avoir fait une recherche Google.

En faisant tourner mon antivirus "Avira AntiVir", j'ai découvert à plusieurs reprises des fichiers infectés (Trojan) que j'ai à chaque fois supprimés.

J'ai découvert une page sur Goméo sur le site Commentcamarche.net : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc

En suivant ces conseils, j'ai supprimé 6 fichiers après avoir fait tourner "Malwarebytes Anti-Malware", "ComboFix" ne semble pas pouvoir s'installer (se télécharge, puis disparaît automatiquement) et j'ai également fait tourner "AD-R.exe".

Voici le rapport issu de AD-R :


======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 01:47:25 le 30/11/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Steph@STEPHE ( ) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
Dossier trouvé: C:\Program Files\Everest Poker
Fichier trouvé: C:\Documents and Settings\All Users\Bureau\Everest Poker.lnk

Clé trouvée: HKLM\Software\Poker 770
Clé trouvée: HKCU\Software\Grand Virtual
Clé trouvée: HKCU\Software\Poker 770
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Poker 770
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.12 (fr)] **

-- C:\Documents and Settings\Steph\Application Data\Mozilla\FireFox\Profilestegzbzp.default\Prefs.js --
browser.download.lastDir, K:\Eau'rizon\FINANCES\RIB
browser.startup.homepage, 
browser.startup.homepage_override.mstone, rv:1.9.2.12
privacy.popups.showBrowserMessage, false

-- C:\Documents and Settings\Laurent Fignon\Application Data\Mozilla\FireFox\Profiles\58kbhqu2.default\Prefs.js --
browser.download.lastDir, J:
browser.startup.homepage_override.mstone, rv:1.9.2.12

-- C:\Documents and Settings\Marie\Application Data\Mozilla\FireFox\Profiles\dx80r479.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.12

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: about:blank
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 30/11/2010 (1186 Octet(s)) 

Fin à: 01:48:01, 30/11/2010 
 
============== E.O.F ============== 





Quelqu'un serait-il en mesure de m'aider ?


Stéphane

moment de grace · Answer

bonjour

fais ceci stp

1)

relances Ad Remover
option NRTTOYAGE
poste le rapport

..............

2)

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Stéphane · Answer

1) Voici déjà le rapport AD-REPORT-CLEAN :


======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 02:10:37 le 30/11/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Steph@STEPHE ( ) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
Dossier supprimé: C:\Program Files\Everest Poker
Fichier supprimé: C:\Documents and Settings\All Users\Bureau\Everest Poker.lnk

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Poker 770
Clé supprimée: HKCU\Software\Grand Virtual
Clé supprimée: HKCU\Software\Poker 770
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Poker 770
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.12 (fr)] **

-- C:\Documents and Settings\Steph\Application Data\Mozilla\FireFox\Profilestegzbzp.default\Prefs.js --
browser.download.lastDir, K:\Eau'rizon\FINANCES\RIB
browser.startup.homepage, 
browser.startup.homepage_override.mstone, rv:1.9.2.12
privacy.popups.showBrowserMessage, false

-- C:\Documents and Settings\Laurent Fignon\Application Data\Mozilla\FireFox\Profiles\58kbhqu2.default\Prefs.js --
browser.download.lastDir, J:
browser.startup.homepage_override.mstone, rv:1.9.2.12

-- C:\Documents and Settings\Marie\Application Data\Mozilla\FireFox\Profiles\dx80r479.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.12

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 101 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 30/11/2010 (707 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 30/11/2010 (3328 Octet(s)) 

Fin à: 02:12:04, 30/11/2010 
 
============== E.O.F ============== 



2) Je me lance avec ZHPDiag

Stéphane · Answer

J'ai bien le fichier ZHPdiag.txt, mais impossible de déposer le fichier sur cijoint.fr. Lorsque je clique sur "déposer le fichier", j'ai une page d'erreur : "Internet Explorer ne peut pas afficher cette page Web".

J'ai le même type d'erreur avec Mozilla, que la case "Rendre public le fichier" soit cochée ou non.

moment de grace · Answer

ok

laisse tomber combofix

le rapport est plutot bon


DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

Stéphane · Answer

Est-ce normal que la progression reste bloquée à 10% depuis 10 minutes ?

En désactivant antivirus et pare-feu, dois-je me déconnecter d'internet ?

moment de grace · Answer

fais le en mode sans echec alors

Stéphane · Answer

C'est bon !!

Voici le premier fichier :

http://www.cijoint.fr/cjlink.php?file=cj201011/cij5InLzAg.txt 

Et le fichier more.txt :

http://www.cijoint.fr/cjlink.php?file=cj201011/cij4v58scl.txt

moment de grace · Answer

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse


redemarre le pc et dis moi comment il se comporte

Stéphane · Answer

Cela vient de se finir.

J'ai eu une fenêtre qui s'est ouverte au milieu du scan : 

PROTECTION DE FICHIERS WINDOWS
Des fichiers nécessaires au fonctionnement de Windows ont été remplacés par des fichiers d'une version non reconnue. Pour maintenir la stabilité du système, Windws doit restaurer la version originale de ces fichiers.
Insérer votre CD du Service Pack 3 pour Windows XP Édition.


Que dois-je faire ?

Sinon, j'ai réactivé l'antivirus, mais lorsque je souhaite réactiver le parefeu, j'ai un autre message : Windows ne trouve pas c:\Windows\system32\rundll32.exe.

Qu'en penses-tu ?

Je n'ose trop rien valider...

Je t'envoie le rapport via cijoint.fr.

Stéphane · Answer

Voici le rapport Kill'em.txt :

http://www.cijoint.fr/cjlink.php?file=cj201011/cijVSfPobf.txt

moment de grace · Answer

de retour ... 

killem a pêter un plomb 

relances le 
choisis tools
puis backup registry

fais ok au demande et laisse travailler l'outil

dis moi ensuite ce qu'il en est 

CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

Stéphane · Answer

Je crois que c'est plus sérieux que je ne le pensais.

J'ai réussi à me connecter à internet une première fois hier soir, puis ensuite, ce n'était plus possible (je rebranchais / débranchais à chaque fois le cable de connexion).
Puis ce sont une à une les autres fonctions qui sont devenues inactives, pour au final être complétement ne plus réussir à faire quoique ce soit.

La version Windows XP que j'ai est celle d'origine, achetée avec l'ordinateur. J'ai donc voulu insérer le CD (fourni lors de mon achat) comme cela était demandé, simplement un message s'est affichée me stipulant que le CD ne correspondait pas à la version Windows installée sur mon ordianteur.

Après extinction forcée de l'ordinateur + redémarrage, il n'était plus possible d'accéder à Windows (message me proposant de redémarrer en mode sans échec ou autre + redémarrer avec les dernières fonctionnalités connues avant les dernières modifications ou redémarrer normalement).
Quelque soit l'option que je choisis, il s'éteint et redémarre pour arriver à cet écran.

J'écris maintenant depuis le boulot.

Peut-on encore faire quelque chose ?

Merci

moment de grace · Answer

bonjour 

est ce un cd de sauvegarde de l'image de ton pc ou est ce le cd de wondows xp* 

de plus as tu des données à récuperer car, il va falloir réinstaller 

CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

Stéphane · Answer

Je regarde dans le détail ce soir.

C'était le CD fourni avec tous les documents généraux à l'achat, et je crois qu'il est marqué "version 2 - Windows XP Family".

A priori, on a réussi à sauvegardé tous nos documents au préalable ; il ne devrait pas y avoir plus de perte que le PC même, au cas où celui-ci ne redémarre plus. Maintenant, si on a une solution pour pouvoir encore accéder aux données, cela me permettrait de faire une vérification plus approfondie.

Peut-on et faut-il formater le PC ? Un copain de passage ce soir me prosposait de m'aider dans cette démarche. Qu'en penses-tu ? Le problème, c'est que je ne pourrais voir ta réponse qu'une fois celui-ci parti... sauf si tu est sur le forum avant 18h30...

Bonne soirée,

Stéphane

moment de grace · Answer

https://ubuntu.com/  pour recuperer tes données

pour le formatage c'est plus sage oui, tu as été victime d'un bug, ca arrive rarement mais...désolé

gen-hackman · Answer

salut à vous 

étant l'auteur de List_Kill'em et de son beug...:S je me dois d'intervenir sur ce topic

à ce que je comprends tu as un deuxieme pc pour ecrire ici est-ce exact ?

Stéphane · Answer

Bonjour,

En fait, j'écris depuis le travail, donc accès à internet en journée seulement (je reviendrai voir le forum lundi a priori). Mais pas d'autre accès au domicile. Nos échanges risquent donc d'être un peu plus longs...

Pour info, parmi les CD livrés à l'achat de l'ordinateur, j'ai :
- Fujitsu Siemens, Product Recovery CD-ROM - Windows XP Édition familiale SP2 ("ne peut être utilisé que pour réaliser des sauvegardes et assurer une reprise de votre ordinateur Fujitsu Siemens Computers")
- Drivers et Utilities, version 01/2006 bf

gen-hackman · Answer

ok il faut que tu graves un cd image de OTLPENet

http://oldtimer.geekstogo.com/OTLPENet.exe

double clique et suis les indications pour graver l'image

ensuite il nous faudra une clé usb formatée

un fois ceci fait , je te donne la suite 

je vais te preparer un programme que tu devras executer , puis une fois que tu m'auras communiqué ce dont j'ai besoin , j'en ferai un autre pour tout remettre en place commme avant

Stéphane · Answer

C'est bon, j'ai gravé le CD et ai des clés USB chez moi. De quelle capacité doit-elle être ?

gen-hackman · Answer

c'est pas important , une 1Go ou 512 Mo suffiront 

je me charge de te faire le premier prog.... 

boote deja sur le cd et dis-moi si tu as accès à internet ca simplifiera les choses
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164

Stephane · Answer

Ca y est

Avec le CD, j ai acces a internet depuis mon ordinateur a partir d une version de Windows "Reatogo X Pe"

Desole d avoir tarde, j ai eu d autres petits soucis par ailleurs...

gen-hackman · Answer

salut pas de soucis :

telecharge et execute ceci :

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/Tmp/List_Quarant.exe

poste le rapport via cijoint.fr
ainsi que Kill'em.txt sue le bureau de la session (donc C:\Documents and settings	a session\Bureau\Kill'em.txt)

Stéphane · Answer

Voici le fichier :

Pour accéder au fichier cliquez sur le lien ci-dessous et entrez les identifiants...
Fichier : http://www.partage-fichiers.com/dl.php?f=Kill_em.txt
Taille du fichier : 256.49 KB
Utilisateur : lb77eihr

Étonnament, le site www.cijoint.fr n'était plus accessible depuis les 2 ordinateurs surlesquels j'ai essayé (redirigé vers un site online.net).

gen-hackman · Answer

j'ai pas accès on me demande un mot de passe envoie-le via : https://www.cjoint.com/

gen-hackman · Answer

ok c'est bon je m'occupe du reste

gen-hackman · Answer

en attendant inscris-toi sur le site , tu pourras voir plus facilement quand je t'aurai repondu plutot que de chercher le sujet à l'aveuglette :)

ca apparaitra en gras sur ta droite dans "Mes interventions"

y a du boulot ! :) (pour moi ) lol

gen-hackman · Answer

pas de soucis j'ai deja refait une bonne moitié :)

demain ton pc devrait tourner :)

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-19995473-virus-security-tool-gomeo-co?page=2#54

Téphan · Answer

Ca y est, j ai un compte.

J ai telecharge puis decompresse le pack3 sur un autre ordinateur, copie le dossier I386 sur mon C:\, mais je bloque ensuite. Je n ai pas l impression que cela fasse grand chose lorsque j execute directement le fichier Exp.bat, et je ne comprends pas comment utiliser OTLPE present sur mon bureau : faut il que je lance un scan ?

Stephane

gen-hackman · Answer

tu l'as executé directement d'internet ? il faut le telecharger et l'enregistrer sur le bureau , l'executer ensuite

gen-hackman · Answer

regarde si ton pc demarre normalement sinon c'est que ca n'a pas fonctionné...

Téphan · Answer

Le PC ne redemarre toujours pas si j enleve le CD dernierement grave, donc ca n a pas marche.

gen-hackman · Answer

tu es sur d'avoir copié le dossier I386 dans C:\ ?

Téphan · Answer

Oui oui.

Simplement, une fois le fichier décompressé sur un ordi professionnel qui n'était pas le mien, une fenêtre me proposait de rendre active l'opération que je venais d'effectuer (ou quelque chose du genre). Par mesure de précaution, j'ai cliqué sur "non", et j'ai ensuite récupéré le fichier I386 pour le copier dans le répertoire C:\ de mon ordinateur malade.

Comme il n'y a pas eu d'effet, j'ai ensuite réessayé en téléchargeant directement depuis mon ordinateur "malade", mais lorsque j'ai décompressé, au moment où le téléchargement devait se terminer, il y a eu une erreur (plus de palce disponible apparemment) et cela n'a pas pu fonctionner.

Y a t-il quelque chose qui n'a pas été dans mon déroulement ?

gen-hackman · Answer

non vire tout ca j'ai un autre moyen car sinon c'est vraiment un travail de fou :)

on va y arriver :

telecharge ceci , mets le dans ta clé usb , redemarre ton pc malade sous OTLPE , et execute ce fichier , peu importe son emplacement.

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/Tmp/restor.exe

une fois fait , fais redemarrer ton pc normalement (pas avec le bouton de l'alim , avec le bouton "Demarrer/redemarrer" puis enleve le cd pendant le redemarrage

s'il te dit "boot device blabla....tu remets le disque dur en premier boot dans le bios

Téphan · Answer

Ok.

Juste une question en passant : est ce que le formatage est encore possible et est ce qu il a du sens ? 
Pour info, aurait il ete utile de chercher a formater au prealable (comme je ne l ai jamais fait, je n avais pas trop envie de me lancer la dedans non plus).

Virus Security Tool, "Gomeo" & co

36 réponses

Discussions similaires