redirection vers gomeo depuis google Résolu/Fermé

Question

Bonjour, 

Je suis infecté par le virus "gomeo" qui redirige depuis google tous les liens vers gomeo.fr, ou d'autre sites de pub.
Quelqu'un peut-il m'aider ? je ne sais ps quoi télécharger comme anti malware...
merci d'avance !


Configuration: Windows XP / Firefox 3.6.13

Smart91 · Answer

Bonjour,

On va faire une anlyse de ton PC. Mais j'ai déjà un avis sur l'infection.
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

nemuri · Answer

Bonjour et merci !

voila le lien cijoint :
http://cjoint.com/data/0bcmxxi4qqg.htm

j'ai également teste explorer.exe sous virustotal, c'est pas fameux : 
http://www.virustotal.com/file-scan/report.html?id=f4c461beb5508753dfaedabcd2105e2221f23e141e0e2da2243623c64c17825e-1293967521

c'est quoi un bamital ?

Smart91 · Answer

En effet tu as attrapé Batimal en allant sur des sites malicieux ou en téléchargeant des cracks 

On va d'abord essayer la méthode simple 
Avant de commencer, fais une sauvegarde de tous tes documents  

Attention pour ceux qui parcourent ce sujet, cet outil n'est pas à utiliser à la légère, et doit être recommandé que par une personne formée à cet outil   

Imprime la procédure
 
Télécharge ComboFix de sUBs sur ton Bureau :  
http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

/!\Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. 
La simple désactivation du résident n'est pas suffisante. 
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover 
Choisis la version adéquate (32 ou 64 bits)/!\ 

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix  

-  /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 
-  Double-clique sur ComboFix.exe  
-  Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  
-  Surtout, accepte d'installer la console de récupération  

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC  
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nemuri · Answer

je m'y met. Juste une chose : quand tu dit sauvegarde tes documents : tu veux dire sur un DD externe en cas de plantage ?

Smart91 · Answer

Le mieux c'est sur un DVD. En effet tu peux le faire sur un DD externe. mais ne fais que tes données personelles. Ne sauvegarde aucun fichiers exécutables avec les extensions suivantes .exe, .zip, .bat, .dll, .htm, html, .rar.

Smart

nemuri · Answer

voici le lien combofix
http://cjoint.com/data/0bcovbBRROI.htm

a priori, j'ai toujours des problème de redirections à partir de google.

Smart91 · Answer

CF a bien restauré explorer.exe et winlogon.exe par des fichiers sains présent sur ton disque. mais si batimal est toujours présent en mémoire il peut les réinfecter. 
Redémarre le PC Et on va vérifier par Virustotal explorer .exe et Winlogon.exe 

Va sur ce site https://www.virustotal.com/gui/ 
- Clique sur parcourir 
- Dans nom du fichier colle ce fichier : C:\Windows\Explorer.exe 
- Clique sur Send File et puis reanalyze 
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport 

Et refais la même chose pour c:\windows\system32\winlogon.exe 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nemuri · Answer

http://www.virustotal.com/file-scan/report.html?id=10b43dbdf8e8b2eaff0685ee96c9c3fe05189d2dd91f430ec8f719f4272cca6d-1293975277

http://www.virustotal.com/file-scan/report.html?id=f4c461beb5508753dfaedabcd2105e2221f23e141e0e2da2243623c64c17825e-1293975493

tu avais raison, les deux sont toujours infectés...

Smart91 · Answer

Tu n'as pas fait réanalyser pour les fichiers sur VirusTotal

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nemuri · Answer

j'ai un graveur, mais sur ce PC. Qu'est-ce que CDLite et quel est le but de la manoeuvre ?

Smart91 · Answer

Un CDLite eet un CD avec un système d'exploitation alternatif embarqué qui va nous permettre de démarrer ton PC infecté depuis ce CD et donc ainsi de ne pas télécharger en mémoire Batimal ensuitete nous allons remplacer explorer.exe et winlogon.exe par des fichiers sains 

Grave ce CD : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090 

Tu démarres le PC depuis le cd OTLPE.  

Ensuite fais ceci:  
- Double cliquer sur OTLPE 
- Si tu obtient la même fenêtre avec le message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)   
- Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES  
- Une seconde : Do you wish to load remote user profile(s) for scanning[ ; Cliquez sur YES  
- Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK  

OTL se lance  
Copiez ce texte en gras  
- Coller le texte dans la partie Custom Scans/Files  

--------------------------------------------------  
:files  
C:\Windows\explorer.exe|c:\windows\ServicePackFiles\i386\explorer.exe /replace  
C:\Windows\System32\winlogon.exe|c:\windows\ServicePackFiles\i386\winlogon.exe /replace  
-------------------------------------------------  
- Clique sur Run Fix en haut de la fenêtre  
- Si une fenêtre s'ouvre avec un message : No Fix has been Provided! Do you want to load it from a file ; cliquer sur YES  
- Coller le contenu du rapport dans la réponseNote : La rapport se trouve dans C:\OTL 

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nemuri · Answer

http://www.virustotal.com/file-scan/report.html?id=f4c461beb5508753dfaedabcd2105e2221f23e141e0e2da2243623c64c17825e-1293976420

http://www.virustotal.com/file-scan/report.html?id=10b43dbdf8e8b2eaff0685ee96c9c3fe05189d2dd91f430ec8f719f4272cca6d-1293976552

Je fais bien réanalyser... l'heure affichée est UTC, donc une heure de moins, c'est peut etre ça.

nemuri · Answer

Merci, je vais tenter ça, mais ce soir, là je dois y aller. Je posterais le résultat !

Smart91 · Answer

OK. On fait cela à ton rythme 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Mais il faut que tu reviennes quand même car ton PC a une sacrée infection 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nemuri · Answer

========== FILES ==========
File C:\Windows\explorer.exe successfully replaced with c:\windows\ServicePackFiles\i386\explorer.exe
File C:\Windows\System32\winlogon.exe successfully replaced with c:\windows\ServicePackFiles\i386\winlogon.exe
 
OTLPE by OldTimer - Version 3.1.43.0 log created on 01032011_193136

je viens de le faire, voila le resultat.
je dois redemarrer sans le CD maintenant?

Smart91 · Answer

Retire le CD redémare ton PC normalement
Et vérifie sur Virustotal les fichiers explorer.exe et winlogon.exe 

Smart

nemuri · Answer

http://www.virustotal.com/file-scan/report.html?id=1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13-1294081630

http://www.virustotal.com/file-scan/report.html?id=ecef5a07dbc72e99adcb82af4dab143f5a2bad3812ccbfa87ea5e82e29e133fa-1294081868

les deux fichiers ne sont plus infectés :)

et la navigation va beaucoup mieux aussi

Smart91 · Answer

Pour moi c'est OK. 1/43 et en plus nprotect qui fait souvent des faux positifs.
Normalement tu ne devras plus avoir de redirection vers gomeo.

Maintenant on va passer un anti virus généraliste pour supprimer d'autres infections
J'ai vu que tu as déjà MalwaresByte's Anti Malware (MBAM)
- Lance-le
-  Fais la mise à jour du logiciel et de la base virale, c'est très important 
-  Lance une analyse complète en cliquant sur "Exécuter un examen complet"
-  Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
-  L'analyse peut durer un bon moment.....
-  Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
-  Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
-  Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart

nemuri · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5449

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03/01/2011 21:51:06
mbam-log-2011-01-03 (21-51-06).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 271269
Temps écoulé: 22 minute(s), 22 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Kumiko\local settings	emporary internet files\Content.IE5\PFNC6JZ7\load[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\Kumiko\local settings	emp\e.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.


du coup j'ai vidé les fichiers temp de toutes les sessions

Smart91 · Answer

OK. Relance MBAM et vide uniquement la quarantaine 
Refais un scan ZHPDiag et poste le rapport via cijoint 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nemuri · Answer

http://cjoint.com/data/0bdwwBrfq5J.htm

j'ai vu qu'il y a un tas de fichiers qui se sont créés dasn windows, avec des noms bizares, tous daté d'hier à 8h pile... tu sais ce que ça peut être ?

Smart91 · Answer

Quand tu as passé les deux fichiers sur Virustotal tu as bien mis ces deux-ci 
C:\Windows\explorer.exe 
C:\Windows\system32\winlogon.exe 

Et est-ce qu tu as toujours des redirections vers Gomeo ? 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nemuri · Answer

oui, j'ai bien testé ces deux fichiers, en réanalyse, et il ne trouve rien (a part nProect pour winlogon)

J'ai testé deux des fichiers bizares de windows, il n'ont rien non plus.
j'ai testé de les ouvrir à partir d'un éditeur de texte, ils contiennent tous deux lignes dans le genre :

[edrj4EO]
gfa8rmK=auUjni1

ou

[f3OVA7mAC]
8IhcsH6BH=xpsIpw


Je n'ai plus de redirections et la navigation est redevenu bcp plus rapide depuis la manip avec CDLite.

J'ai l'impression que maintenant c'est bon, à part ces fichiers bizare qui ont attéris dans windows, daté pile poil du moment ou ça s'est mis à planter hier.

penses-tu que je doive supprimer ces fihiers ?

Smart91 · Answer

Non tu vas faire ceci:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu nel'as pas télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O42 - Logiciel: fSfgf<fcfCf"fXf^ [fXfNfS [f"fZ [fo [ Screensaver - (.Pas de propriétaire.) [HKLM] -- fSfgf<fcfCf"fXf^ [fXfNfS [f"fZ [fo [
O44 - LFC:[MD5.89F1886FB2D9CD0C470A8630849F6605] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\1Vi1Y22E   [33]
O44 - LFC:[MD5.B122343B03DA30C9ED3C483FCF82108B] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\1cUWTTc4e   [44]
O44 - LFC:[MD5.2CCC7CBD64E7F3CD34914B85394A61A3] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\1euCH41Y2   [41]
O44 - LFC:[MD5.73ADC8DF7511356A595FBE588290D9A6] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\1fQKO   [38]
O44 - LFC:[MD5.DE0C3C9548E7C6A1B8F4E2F8E833C6D9] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\2Qvsv   [36]
O44 - LFC:[MD5.7AB9E614862EB210A9F6082114DEAA6A] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\3tvJyeq   [35]
O44 - LFC:[MD5.EDCD7F144F1442FC0B6970853ABF04A8] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\4IWYB   [27]
O44 - LFC:[MD5.6A47EFA0EDDD0D581931474AC85E6134] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\5hJOk1N   [35]
O44 - LFC:[MD5.332EFDD9323EAA3D59EFF8ECDA4A12E2] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\5pmmsMdNFo   [32]
O44 - LFC:[MD5.1A5A892D1F7A0198FC0ABE1124FE809C] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\74eKv   [38]
O44 - LFC:[MD5.7D20CAB7E64019D81968B857492B6654] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\7TtKhaDt2e   [41]
O44 - LFC:[MD5.764661ACC2B7511B6DE0556008966604] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\7msMUWiACu   [39]
O44 - LFC:[MD5.9B5BB756D4E427A59F63F2AB9C1D1F96] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\8UHe2P   [38]
O44 - LFC:[MD5.3DC499B5CC62EC5471B27D819631A384] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\8nngEoL   [24]
O44 - LFC:[MD5.98158DA524B68332910C7D0FFF963AE3] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\8xuuEFl   [44]
O44 - LFC:[MD5.A16EBA1C4ECC6B74E9B0CD6D04BEED46] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\ABrHyOQF   [33]
O44 - LFC:[MD5.461454E72E56BEA3C68A2B5DF38881CA] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\CVkCg6GGje   [35]
O44 - LFC:[MD5.C643B4DAA7A4AB74A5F095A409AFDCF3] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\DGweBm   [35]
O44 - LFC:[MD5.A99D1B3DC79C67749FAACE597A2680AE] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\FtuUKI7tLO   [38]
O44 - LFC:[MD5.11D45E35B75F506D38442A25C9AC997A] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\GDfBH3qm   [28]
O44 - LFC:[MD5.D78467E1A4A0B3CD77B8C9799D368B74] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\GJX5lU7   [30]
O44 - LFC:[MD5.846D074EA91E818CDC7DF78C8CBBD5A7] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\GcCSso   [43]
O44 - LFC:[MD5.F5A73BECAEC5F793A58E95CEF043A1F6] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\Gniqh2   [39]
O44 - LFC:[MD5.5B4212064E680538133B9CEF8D74B1E7] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\Hvo7kUU   [45]
O44 - LFC:[MD5.0D6ABFC978D12084A7029947CA3E9DAB] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\Iul4M   [28]
O44 - LFC:[MD5.2D682419A0425DD984B76D80A6D27606] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\Mv8FNpV2hK   [28]
O44 - LFC:[MD5.205483697ED623C5413127B1E73DE92D] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\NxQK1   [47]
O44 - LFC:[MD5.6DC70CDF12F6179120A14B1C33D6ED72] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\OmW4hGUmrl   [25]
O44 - LFC:[MD5.8CCFB8EC140C9A482840B4C02711AA1D] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\RCLHfsoVKo   [35]
O44 - LFC:[MD5.1A88F0350D2811171C0203605752A5B4] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\SL4Gxd   [32]
O44 - LFC:[MD5.5B9BBB1B1A49B9928E54E200B05FAA45] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\Sg8JQhcb   [30]
O44 - LFC:[MD5.29F375DD1F1CEDA4664236CA9D1A1752] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\SnAF2h   [45]
O44 - LFC:[MD5.9996164B4E59B82FE81C3583B8359BA8] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\T8X7Pr8   [25]
O44 - LFC:[MD5.4D687AAE610EAE79D79ED4AADAE4666B] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\TOx3x5Y   [44]
O44 - LFC:[MD5.EFECE42855521DB509CCE0EFE16ACD4D] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\VQJPHi   [39]
O44 - LFC:[MD5.75E994C3118FE168D1167C9E0B83C1BE] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\VQjKpNoC   [28]
O44 - LFC:[MD5.DB3903F7C860CC27A3CB76EF906DD687] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\VfboROYGFY   [37]
O44 - LFC:[MD5.57CEFBCCC213732847D09B61021B2A76] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\W2CS2   [24]
O44 - LFC:[MD5.BB37D52290F5424F51091006C731F407] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\WXtYjgGvWB   [43]
O44 - LFC:[MD5.5D450E12C04C64329C4367DCE544E926] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\WtQPnivy6   [31]
O44 - LFC:[MD5.1E92E0E8DF9F6D9D5BD6CFBB3F46800F] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\XJ5lf4C   [40]
O44 - LFC:[MD5.414D9C4C6AFDF7C07337138DF2D55BBD] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\Y4uGYpB   [34]
O44 - LFC:[MD5.C881AFB1A58BC39A7CD62195AA76D0C8] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\a1PWcH   [24]
O44 - LFC:[MD5.C4D61BF2EEA74981761BD5659FBB238A] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\aPGWPE   [28]
O44 - LFC:[MD5.9415E40931714ACBCD2B2D35399C4EEA] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\bMgNPtp6   [25]
O44 - LFC:[MD5.03A2AF6F0F0C377C369D328EA9042F19] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\bnGVMejdQS   [32]
O44 - LFC:[MD5.FB8ADC11498A49D705AA428553511739] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\csaYl7Vra4   [31]
O44 - LFC:[MD5.A502C4F4E02F98D61A340AC53557D0A1] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\dTU6n3qcO   [39]
O44 - LFC:[MD5.A5EEC244A10B534A8F498EF3B0C9F7F5] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\dVgu63   [32]
O44 - LFC:[MD5.BF0FEF0A41E47B99BC3A2CABB1DB1129] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\dWmqNQboc   [33]
O44 - LFC:[MD5.48FC7C20A07E3078A73C3CD31436B8FC] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\eDFchX7Gu   [39]
O44 - LFC:[MD5.F88E21AB5BC563C6E5FE5CE6E00BB3A8] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\eVOOvF   [37]
O44 - LFC:[MD5.BA96B7C81A8898E2F39D4EB2B7CAD23C] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\gUu2n5   [42]
O44 - LFC:[MD5.F137F7B98694C40BDABA141A8C6BBD5E] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\hkwRCVmf3P   [43]
O44 - LFC:[MD5.11095C40C526E019B0419F91122808FA] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\hwvfAj   [30]
O44 - LFC:[MD5.40CF428776A3FBD5D4C629C755472072] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\k1atV   [44]
O44 - LFC:[MD5.938EB4DFF89F53873AD0BDF3CC4509C6] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\l2X358N   [36]
O44 - LFC:[MD5.B50E1060D8566ED3BE7D4E80C04E391B] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\lnE1ok7SVo   [26]
O44 - LFC:[MD5.768F106914444C744757D4422DDC63BC] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\mYDaRfcd   [26]
O44 - LFC:[MD5.4B70CDE17B801C8D2EE14EB33D0E239C] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\mrq5K4P   [27]
O44 - LFC:[MD5.7A44C9AE226CC64EA0C72156E6DA93AD] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS
Jtf64j   [33]
O44 - LFC:[MD5.91CCF59BCA6ED2C372B39526FDB34E19] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\oHjigD3tfi   [39]
O44 - LFC:[MD5.C299F56B8E2BAB8514CC34311CD108C2] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\oemKQGlTS   [37]
O44 - LFC:[MD5.39E8E45BAF5E28D17D9A031689450DDD] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\pA8P1O   [29]
O44 - LFC:[MD5.50996C7F2C8E132095ADB2D042E5591E] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\pyxFWS2S   [40]
O44 - LFC:[MD5.33F53F97527CB877BD1308591104DACC] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\qRgYu374   [39]
O44 - LFC:[MD5.A3C72CFF010197E579F76C4B399CB3E4] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS7WdPkmtN   [41]
O44 - LFC:[MD5.1DD116712247DFF5068A7980DB9C873F] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\sGVbix   [45]
O44 - LFC:[MD5.710EEBB8A4EB568825413E36EBEB600C] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\sXQAwehfl   [31]
O44 - LFC:[MD5.4DD34575260F530B23D85F49373FEE21] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS	NbbFn   [43]
O44 - LFC:[MD5.3FF6C9837323CF2133DD27E77677BAE4] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS	fHvVM   [36]
O44 - LFC:[MD5.5E64741CF3419BC1FA4002775594D5F1] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\uhbYm   [29]
O44 - LFC:[MD5.6535C0AA4708D37EF1BEDAC75E15D6FC] - 02/01/2011 - 08:00:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\wkxxch3S   [36]
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Smart

nemuri · Answer

Rapport de ZHPFix 1.12.3233 par Nicolas Coolman, Update du 30/12/2010
Fichier d'export Registre : 
Run by David at 03/01/2011 23:06:34
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Fichier(s) ==========
c:\windows\1vi1y22e  => Supprimé et mis en quarantaine
c:\windows\1cuwttc4e  => Supprimé et mis en quarantaine
c:\windows\1euch41y2  => Supprimé et mis en quarantaine
c:\windows\1fqko  => Supprimé et mis en quarantaine
c:\windows\2qvsv  => Supprimé et mis en quarantaine
c:\windows\3tvjyeq  => Supprimé et mis en quarantaine
c:\windows\4iwyb  => Supprimé et mis en quarantaine
c:\windows\5hjok1n  => Supprimé et mis en quarantaine
c:\windows\5pmmsmdnfo  => Supprimé et mis en quarantaine
c:\windows\74ekv  => Supprimé et mis en quarantaine
c:\windows\7ttkhadt2e  => Supprimé et mis en quarantaine
c:\windows\7msmuwiacu  => Supprimé et mis en quarantaine
c:\windows\8uhe2p  => Supprimé et mis en quarantaine
c:\windows\8nngeol  => Supprimé et mis en quarantaine
c:\windows\8xuuefl  => Supprimé et mis en quarantaine
c:\windows\abrhyoqf  => Supprimé et mis en quarantaine
c:\windows\cvkcg6ggje  => Supprimé et mis en quarantaine
c:\windows\dgwebm  => Supprimé et mis en quarantaine
c:\windows\ftuuki7tlo  => Supprimé et mis en quarantaine
c:\windows\gdfbh3qm  => Supprimé et mis en quarantaine
c:\windows\gjx5lu7  => Supprimé et mis en quarantaine
c:\windows\gccsso  => Supprimé et mis en quarantaine
c:\windows\gniqh2  => Supprimé et mis en quarantaine
c:\windows\hvo7kuu  => Supprimé et mis en quarantaine
c:\windows\iul4m  => Supprimé et mis en quarantaine
c:\windows\mv8fnpv2hk  => Supprimé et mis en quarantaine
c:\windows
xqk1  => Supprimé et mis en quarantaine
c:\windows\omw4hgumrl  => Supprimé et mis en quarantaine
c:\windowsclhfsovko  => Supprimé et mis en quarantaine
c:\windows\sl4gxd  => Supprimé et mis en quarantaine
c:\windows\sg8jqhcb  => Supprimé et mis en quarantaine
c:\windows\snaf2h  => Supprimé et mis en quarantaine
c:\windows	8x7pr8  => Supprimé et mis en quarantaine
c:\windows	ox3x5y  => Supprimé et mis en quarantaine
c:\windows\vqjphi  => Supprimé et mis en quarantaine
c:\windows\vqjkpnoc  => Supprimé et mis en quarantaine
c:\windows\vfboroygfy  => Supprimé et mis en quarantaine
c:\windows\w2cs2  => Supprimé et mis en quarantaine
c:\windows\wxtyjggvwb  => Supprimé et mis en quarantaine
c:\windows\wtqpnivy6  => Supprimé et mis en quarantaine
c:\windows\xj5lf4c  => Supprimé et mis en quarantaine
c:\windows\y4ugypb  => Supprimé et mis en quarantaine
c:\windows\a1pwch  => Supprimé et mis en quarantaine
c:\windows\apgwpe  => Supprimé et mis en quarantaine
c:\windows\bmgnptp6  => Supprimé et mis en quarantaine
c:\windows\bngvmejdqs  => Supprimé et mis en quarantaine
c:\windows\csayl7vra4  => Supprimé et mis en quarantaine
c:\windows\dtu6n3qco  => Supprimé et mis en quarantaine
c:\windows\dvgu63  => Supprimé et mis en quarantaine
c:\windows\dwmqnqboc  => Supprimé et mis en quarantaine
c:\windows\edfchx7gu  => Supprimé et mis en quarantaine
c:\windows\evoovf  => Supprimé et mis en quarantaine
c:\windows\guu2n5  => Supprimé et mis en quarantaine
c:\windows\hkwrcvmf3p  => Supprimé et mis en quarantaine
c:\windows\hwvfaj  => Supprimé et mis en quarantaine
c:\windows\k1atv  => Supprimé et mis en quarantaine
c:\windows\l2x358n  => Supprimé et mis en quarantaine
c:\windows\lne1ok7svo  => Supprimé et mis en quarantaine
c:\windows\mydarfcd  => Supprimé et mis en quarantaine
c:\windows\mrq5k4p  => Supprimé et mis en quarantaine
c:\windows
jtf64j  => Supprimé et mis en quarantaine
c:\windows\ohjigd3tfi  => Supprimé et mis en quarantaine
c:\windows\oemkqglts  => Supprimé et mis en quarantaine
c:\windows\pa8p1o  => Supprimé et mis en quarantaine
c:\windows\pyxfws2s  => Supprimé et mis en quarantaine
c:\windows\qrgyu374  => Supprimé et mis en quarantaine
c:\windows7wdpkmtn  => Supprimé et mis en quarantaine
c:\windows\sgvbix  => Supprimé et mis en quarantaine
c:\windows\sxqawehfl  => Supprimé et mis en quarantaine
c:\windows	nbbfn  => Supprimé et mis en quarantaine
c:\windows	fhvvm  => Supprimé et mis en quarantaine
c:\windows\uhbym  => Supprimé et mis en quarantaine
c:\windows\wkxxch3s  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
73 : Fichier(s)


End of the scan


La première ligne je sais ce que c'est : c'est le screensaver de ma femme. C'est du japonais, d'ou le nom bizare sous windows, mais je ne pense pas qu'il y ai de probleme avec (téléchargé sur un site officiel). Sauf bien sûr s'il a été infecté. En tout cas le nom chelou est normal.

Smart91 · Answer

"La première ligne je sais ce que c'est : c'est le screensaver de ma femme. C'est du japonais, d'ou le nom bizare sous windows, mais je ne pense pas qu'il y ai de probleme avec (téléchargé sur un site officiel)." 

Tu as bien de ne pas la mettre dans le script car j'avais bien vu que le prénom de ta femme est japonais ainsi que c'est le Yahoo japonais. Mais j'aurais dû te le demander avant de faire le script. 

De plus ZHPDiag montrait les explorer et winlogon infectés, mais en fait ce sont les anciens fichiers, car tu as fait un ZHPSearch sur Batimal et le rapport se trouvait dans le dernier ZHPDiag. Comme je ne t'avais pas demandé de ZHPsearch, cela m'a induit en erreur. 
Mais ce n'est pas grave, le principal c'est que tout est bon 

On va passer à la phase finale. il nous reste à faire: 
- les mises à jour prioritaires 
- l'optimisation du PC 
- la désinstallation des outils de désinfection 
- les conseills de prévention quand on surfe sur Internet 

Fais les mises à jour suivantes: 

Mise à jour Java 6 update 23 ==> https://www.java.com/fr/download/ 
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant. 
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 23 

Mise à jour Adobe 
Désinstalle Adobe 
Installer Adobe 9.4.1 

Mise à jour flashplayer vers la version 10.1.102.64 
* Ferme tous tes navigateurs 
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs). 
* Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin 

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour 
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation: 

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)  
Si tu nel'as pas télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html 
Copie/colle les lignes en gras suivantes : 
  
----------------------------------------------------------  
OPT:O4 - HKLM\..\Run: [MSPY2002] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe 
OPT:O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe 
OPT:O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe 
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe 
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe 
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd.) -- C:\Program Files\HP\HP Software Update\HPWuSchd.exe 
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe 
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe 
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
OPT:O4 - HKUS\S-1-5-21-7507412-2707886253-3211433890-1005\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe 
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk . (.Adobe Systems Incorporated.)  -- C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe 
OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe 
OPT:SR - | Auto 12/12/2008 238888 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe 
----------------------------------------------------------  
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »  
- Copie/colle la totalité du rapport dans ta prochaine réponse  

Fais déjà ceci, on fera le reste ensuite 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nemuri · Answer

je dois me coucher maintenant, je ferai tout ça demain, merci !
Tu peux juste me dire pourquoi il faut nettoyer les fichiers TINTSETP.exe, ImScInst.exe, et ctfmon.exe de System32 ainsi que les trucs Apple ? ça rique pas de faire planter iTunes ?

Le reste j'ai vu c'est des trucs dont je me sers jamais (en plus le HP software update est chiant, il se lance tout seul au démarrage de temps en temps)

A demain !

Smart91 · Answer

Non pas du tout. D'après mon script avec la commande OPT: devant les lignes cela les empêche de se lancer au démarrage du PC. mais en aucun cas je les supprime. C'est de l'optimisation. C'est vraiment inutile de les lancer au démarrage 

je te donne la suite et souhaite une bonne nuit et bon courage pour demain 

1. Désinstallation des outils 

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »  
Tutoriel pour t'aide  

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :  
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections 
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....  
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.  
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).  

3. Désactiver la restauration système et céer un point de restauration  
Dans la barre des tâches de Windows, clique sur Démarrer.  
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.  
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"  
Clique sur Appliquer.  
Ensuite décoche "Désactiver la restauration du systeme"  
Clique sur appliquer puis ok  
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides 

Quelques conseils de Prévention 

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.  

- Par rapport au P2P : http://www.libellules.ch/...  

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :  
Prévention et Protection 

Sois plus vigilant(e) sur Internet à l'avenir 

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nemuri · Answer

merci beaucoup, j'ai tout fini !

Smart91 · Answer

Heureux de t'avoir aidé.

Je te souhaite une bonne année 2011 sans virus :-)

Smart

Redirection vers gomeo depuis google

31 réponses

Discussions similaires