Virus Security Tool, "Gomeo" & co
Stéphane
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
J'ai depuis une dizaine de jours des problèmes sur mon ordinateur. Tout d'abord, c'est un faux anti-virus qui s'est installé automatiquement - Security Tool - m'annonçant que mon ordinateur était infecté et ouvrant en permanence des messages d'alerte.
J'ai réussi à supprimer un fichier ".exe" et depuis je n'ai plus ni Security Tool ni les messages d'alerte, par contre l'ordinateur se bloque régulièrement nécessitant un redémarrage, des pages internet me sont bloquées (notamment celles qui nécessitent un mot de passe) et je subis des redirections inopinées sur des pages internet non souhaitées, notamment vers un site de recherche "Goméo" après avoir fait une recherche Google.
En faisant tourner mon antivirus "Avira AntiVir", j'ai découvert à plusieurs reprises des fichiers infectés (Trojan) que j'ai à chaque fois supprimés.
J'ai découvert une page sur Goméo sur le site Commentcamarche.net : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc
En suivant ces conseils, j'ai supprimé 6 fichiers après avoir fait tourner "Malwarebytes Anti-Malware", "ComboFix" ne semble pas pouvoir s'installer (se télécharge, puis disparaît automatiquement) et j'ai également fait tourner "AD-R.exe".
Voici le rapport issu de AD-R :
======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 01:47:25 le 30/11/2010, Mode normal
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Steph@STEPHE ( )
============== RECHERCHE ==============
Dossier trouvé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
Dossier trouvé: C:\Program Files\Everest Poker
Fichier trouvé: C:\Documents and Settings\All Users\Bureau\Everest Poker.lnk
Clé trouvée: HKLM\Software\Poker 770
Clé trouvée: HKCU\Software\Grand Virtual
Clé trouvée: HKCU\Software\Poker 770
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Poker 770
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.12 (fr)] **
-- C:\Documents and Settings\Steph\Application Data\Mozilla\FireFox\Profiles\rtegzbzp.default\Prefs.js --
browser.download.lastDir, K:\\Eau'rizon\\FINANCES\\RIB
browser.startup.homepage,
browser.startup.homepage_override.mstone, rv:1.9.2.12
privacy.popups.showBrowserMessage, false
-- C:\Documents and Settings\Laurent Fignon\Application Data\Mozilla\FireFox\Profiles\58kbhqu2.default\Prefs.js --
browser.download.lastDir, J:
browser.startup.homepage_override.mstone, rv:1.9.2.12
-- C:\Documents and Settings\Marie\Application Data\Mozilla\FireFox\Profiles\dx80r479.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.12
========================================
** Internet Explorer Version [8.0.6001.18702] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: about:blank
Use Custom Search URL: 1
Use Search Asst: no
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)
C:\Ad-Report-SCAN[1].txt - 30/11/2010 (1186 Octet(s))
Fin à: 01:48:01, 30/11/2010
============== E.O.F ==============
Quelqu'un serait-il en mesure de m'aider ?
Stéphane
J'ai depuis une dizaine de jours des problèmes sur mon ordinateur. Tout d'abord, c'est un faux anti-virus qui s'est installé automatiquement - Security Tool - m'annonçant que mon ordinateur était infecté et ouvrant en permanence des messages d'alerte.
J'ai réussi à supprimer un fichier ".exe" et depuis je n'ai plus ni Security Tool ni les messages d'alerte, par contre l'ordinateur se bloque régulièrement nécessitant un redémarrage, des pages internet me sont bloquées (notamment celles qui nécessitent un mot de passe) et je subis des redirections inopinées sur des pages internet non souhaitées, notamment vers un site de recherche "Goméo" après avoir fait une recherche Google.
En faisant tourner mon antivirus "Avira AntiVir", j'ai découvert à plusieurs reprises des fichiers infectés (Trojan) que j'ai à chaque fois supprimés.
J'ai découvert une page sur Goméo sur le site Commentcamarche.net : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc
En suivant ces conseils, j'ai supprimé 6 fichiers après avoir fait tourner "Malwarebytes Anti-Malware", "ComboFix" ne semble pas pouvoir s'installer (se télécharge, puis disparaît automatiquement) et j'ai également fait tourner "AD-R.exe".
Voici le rapport issu de AD-R :
======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 01:47:25 le 30/11/2010, Mode normal
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Steph@STEPHE ( )
============== RECHERCHE ==============
Dossier trouvé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
Dossier trouvé: C:\Program Files\Everest Poker
Fichier trouvé: C:\Documents and Settings\All Users\Bureau\Everest Poker.lnk
Clé trouvée: HKLM\Software\Poker 770
Clé trouvée: HKCU\Software\Grand Virtual
Clé trouvée: HKCU\Software\Poker 770
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Poker 770
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.12 (fr)] **
-- C:\Documents and Settings\Steph\Application Data\Mozilla\FireFox\Profiles\rtegzbzp.default\Prefs.js --
browser.download.lastDir, K:\\Eau'rizon\\FINANCES\\RIB
browser.startup.homepage,
browser.startup.homepage_override.mstone, rv:1.9.2.12
privacy.popups.showBrowserMessage, false
-- C:\Documents and Settings\Laurent Fignon\Application Data\Mozilla\FireFox\Profiles\58kbhqu2.default\Prefs.js --
browser.download.lastDir, J:
browser.startup.homepage_override.mstone, rv:1.9.2.12
-- C:\Documents and Settings\Marie\Application Data\Mozilla\FireFox\Profiles\dx80r479.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.12
========================================
** Internet Explorer Version [8.0.6001.18702] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: about:blank
Use Custom Search URL: 1
Use Search Asst: no
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)
C:\Ad-Report-SCAN[1].txt - 30/11/2010 (1186 Octet(s))
Fin à: 01:48:01, 30/11/2010
============== E.O.F ==============
Quelqu'un serait-il en mesure de m'aider ?
Stéphane
A voir également:
- Virus Security Tool, "Gomeo" & co
- Hp usb disk storage format tool - Télécharger - Stockage
- Ds3 tool - Télécharger - Émulation
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Media creation tool - Télécharger - Systèmes d'exploitation
- Virus mcafee - Accueil - Piratage
36 réponses
Ca y est
Avec le CD, j ai acces a internet depuis mon ordinateur a partir d une version de Windows "Reatogo X Pe"
Desole d avoir tarde, j ai eu d autres petits soucis par ailleurs...
Avec le CD, j ai acces a internet depuis mon ordinateur a partir d une version de Windows "Reatogo X Pe"
Desole d avoir tarde, j ai eu d autres petits soucis par ailleurs...
salut pas de soucis :
telecharge et execute ceci :
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/Tmp/List_Quarant.exe
poste le rapport via cijoint.fr
ainsi que Kill'em.txt sue le bureau de la session (donc C:\Documents and settings\ta session\Bureau\Kill'em.txt)
telecharge et execute ceci :
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/Tmp/List_Quarant.exe
poste le rapport via cijoint.fr
ainsi que Kill'em.txt sue le bureau de la session (donc C:\Documents and settings\ta session\Bureau\Kill'em.txt)
Je ne sais pas pourquoi le site www.cijoint.fr ne fonctionne plus, après des essais sur 2 ordinateurs différents (on est redirigé vers une page "hébergement clef en main, erreur 500, online.net).
J'ai mis le fichier sur un autre site :
http://www.partage-fichiers.com/dl.php?f=Kill_em.txt
Utilisateur : lb77eihr
Mot de passe : sgjigjd5
Ce fichier est disponible pendant 15 jours
Il s'agit du fichier créé avant le plantage, en manque-t-il toujours un bout ?
J'ai mis le fichier sur un autre site :
http://www.partage-fichiers.com/dl.php?f=Kill_em.txt
Utilisateur : lb77eihr
Mot de passe : sgjigjd5
Ce fichier est disponible pendant 15 jours
Il s'agit du fichier créé avant le plantage, en manque-t-il toujours un bout ?
Voici le fichier :
Pour accéder au fichier cliquez sur le lien ci-dessous et entrez les identifiants...
Fichier : http://www.partage-fichiers.com/dl.php?f=Kill_em.txt
Taille du fichier : 256.49 KB
Utilisateur : lb77eihr
Étonnament, le site www.cijoint.fr n'était plus accessible depuis les 2 ordinateurs surlesquels j'ai essayé (redirigé vers un site online.net).
Pour accéder au fichier cliquez sur le lien ci-dessous et entrez les identifiants...
Fichier : http://www.partage-fichiers.com/dl.php?f=Kill_em.txt
Taille du fichier : 256.49 KB
Utilisateur : lb77eihr
Étonnament, le site www.cijoint.fr n'était plus accessible depuis les 2 ordinateurs surlesquels j'ai essayé (redirigé vers un site online.net).
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
en attendant inscris-toi sur le site , tu pourras voir plus facilement quand je t'aurai repondu plutot que de chercher le sujet à l'aveuglette :)
ca apparaitra en gras sur ta droite dans "Mes interventions"
y a du boulot ! :) (pour moi ) lol
ca apparaitra en gras sur ta droite dans "Mes interventions"
y a du boulot ! :) (pour moi ) lol
Ca y est, j ai un compte.
J ai telecharge puis decompresse le pack3 sur un autre ordinateur, copie le dossier I386 sur mon C:\, mais je bloque ensuite. Je n ai pas l impression que cela fasse grand chose lorsque j execute directement le fichier Exp.bat, et je ne comprends pas comment utiliser OTLPE present sur mon bureau : faut il que je lance un scan ?
Stephane
J ai telecharge puis decompresse le pack3 sur un autre ordinateur, copie le dossier I386 sur mon C:\, mais je bloque ensuite. Je n ai pas l impression que cela fasse grand chose lorsque j execute directement le fichier Exp.bat, et je ne comprends pas comment utiliser OTLPE present sur mon bureau : faut il que je lance un scan ?
Stephane
tu l'as executé directement d'internet ? il faut le telecharger et l'enregistrer sur le bureau , l'executer ensuite
Oui oui.
Simplement, une fois le fichier décompressé sur un ordi professionnel qui n'était pas le mien, une fenêtre me proposait de rendre active l'opération que je venais d'effectuer (ou quelque chose du genre). Par mesure de précaution, j'ai cliqué sur "non", et j'ai ensuite récupéré le fichier I386 pour le copier dans le répertoire C:\ de mon ordinateur malade.
Comme il n'y a pas eu d'effet, j'ai ensuite réessayé en téléchargeant directement depuis mon ordinateur "malade", mais lorsque j'ai décompressé, au moment où le téléchargement devait se terminer, il y a eu une erreur (plus de palce disponible apparemment) et cela n'a pas pu fonctionner.
Y a t-il quelque chose qui n'a pas été dans mon déroulement ?
Simplement, une fois le fichier décompressé sur un ordi professionnel qui n'était pas le mien, une fenêtre me proposait de rendre active l'opération que je venais d'effectuer (ou quelque chose du genre). Par mesure de précaution, j'ai cliqué sur "non", et j'ai ensuite récupéré le fichier I386 pour le copier dans le répertoire C:\ de mon ordinateur malade.
Comme il n'y a pas eu d'effet, j'ai ensuite réessayé en téléchargeant directement depuis mon ordinateur "malade", mais lorsque j'ai décompressé, au moment où le téléchargement devait se terminer, il y a eu une erreur (plus de palce disponible apparemment) et cela n'a pas pu fonctionner.
Y a t-il quelque chose qui n'a pas été dans mon déroulement ?
non vire tout ca j'ai un autre moyen car sinon c'est vraiment un travail de fou :)
on va y arriver :
telecharge ceci , mets le dans ta clé usb , redemarre ton pc malade sous OTLPE , et execute ce fichier , peu importe son emplacement.
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/Tmp/restor.exe
une fois fait , fais redemarrer ton pc normalement (pas avec le bouton de l'alim , avec le bouton "Demarrer/redemarrer" puis enleve le cd pendant le redemarrage
s'il te dit "boot device blabla....tu remets le disque dur en premier boot dans le bios
on va y arriver :
telecharge ceci , mets le dans ta clé usb , redemarre ton pc malade sous OTLPE , et execute ce fichier , peu importe son emplacement.
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/Tmp/restor.exe
une fois fait , fais redemarrer ton pc normalement (pas avec le bouton de l'alim , avec le bouton "Demarrer/redemarrer" puis enleve le cd pendant le redemarrage
s'il te dit "boot device blabla....tu remets le disque dur en premier boot dans le bios
Que signifie "sous OTLPE" concrètement ? Ai-je une manipulation à effectuer ou est-ce automatique ?
Je n'ai pas trop compris la fin, mais je vais essayer ce soir...
Sinon, je n'aurai pas l'occasion de revenir sur le forum pendant 2 semaines, donc si le problème n'est pas réglé ce soir (ce que j'imagine), je poursuivrai l'aventure début janvier si ça te convient...
Je n'ai pas trop compris la fin, mais je vais essayer ce soir...
Sinon, je n'aurai pas l'occasion de revenir sur le forum pendant 2 semaines, donc si le problème n'est pas réglé ce soir (ce que j'imagine), je poursuivrai l'aventure début janvier si ça te convient...
Et bien ca n a pas plus marche.
J ai enregistre le fichier .exe sur C:\, execute, puis redemarre. Je suis retombe sur le meme ecran noir qui me repropose de demarrer 1.normalement, 2.dans la configuration avant que cela plante, 3.en mode sans echec ou 4.en mode sans echec avec connexion reseau (et aussi un 5eme mode). Dans tous les cas, le PC s arrete, redemarre, et affiche a nouveau le meme ecran 10s plus tard.
J ai enregistre le fichier .exe sur C:\, execute, puis redemarre. Je suis retombe sur le meme ecran noir qui me repropose de demarrer 1.normalement, 2.dans la configuration avant que cela plante, 3.en mode sans echec ou 4.en mode sans echec avec connexion reseau (et aussi un 5eme mode). Dans tous les cas, le PC s arrete, redemarre, et affiche a nouveau le meme ecran 10s plus tard.
