Infecté par gomeo
jojomomo
-
gaetanduloiret -
gaetanduloiret -
Bonjour,
Je suis infecté par gomeo. Voilà mon rapport (AD remover). Mrci pour votre aide.
======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 09/01/11 à 12:30
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 16:32:09 le 10/01/2011, Mode normal
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
HP_Propriétaire@JOAN ( )
============== RECHERCHE ==============
Clé trouvée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé trouvée: HKLM\Software\Conduit
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.13 (fr)] **
-- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\j3r88dxh.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\HP_Propriétaire\\Mes documents\\ecole\\cycle 3\\français\\ORL\\voc...
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://www.searcheo.fr/recherche?search&q=
privacy.popups.showBrowserMessage, false
========================================
** Internet Explorer Version [7.0.5730.11] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Search_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=63&bd=PAVILION&pf=desktop
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://www.ustart.org
Use Custom Search URL: 1
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=63&bd=PAVILION&pf=desktop
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.ustart.org
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)
C:\Ad-Report-SCAN[1].txt - 09/01/2011 (2479 Octet(s))
C:\Ad-Report-SCAN[2].txt - 10/01/2011 (446 Octet(s))
Fin à: 16:33:02, 10/01/2011
============== E.O.F ==============
Je suis infecté par gomeo. Voilà mon rapport (AD remover). Mrci pour votre aide.
======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 09/01/11 à 12:30
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 16:32:09 le 10/01/2011, Mode normal
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
HP_Propriétaire@JOAN ( )
============== RECHERCHE ==============
Clé trouvée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé trouvée: HKLM\Software\Conduit
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.13 (fr)] **
-- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\j3r88dxh.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\HP_Propriétaire\\Mes documents\\ecole\\cycle 3\\français\\ORL\\voc...
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://www.searcheo.fr/recherche?search&q=
privacy.popups.showBrowserMessage, false
========================================
** Internet Explorer Version [7.0.5730.11] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Search_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=63&bd=PAVILION&pf=desktop
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://www.ustart.org
Use Custom Search URL: 1
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=63&bd=PAVILION&pf=desktop
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.ustart.org
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)
C:\Ad-Report-SCAN[1].txt - 09/01/2011 (2479 Octet(s))
C:\Ad-Report-SCAN[2].txt - 10/01/2011 (446 Octet(s))
Fin à: 16:33:02, 10/01/2011
============== E.O.F ==============
A voir également:
- Infecté par gomeo
- Alerte windows ordinateur infecté - Accueil - Arnaque
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment ✓ - Forum Virus
- L'ordinateur d'arthur a été infecté par un virus répertorié récemment. ✓ - Forum Antivirus
- L'ordinateur de samantha a ete infecte par un virus - Forum Virus
- Infection par : ONLYPC Flow.co.in ✓ - Forum Virus
66 réponses
alleluia !!!!
combofix a fonctionné
voila le lien du rapport:
http://www.cijoint.fr/cjlink.php?file=cj201101/cij2hPg2fE.txt
que faire à l'avenir pour éviter tout ce ramdam...???
combofix a fonctionné
voila le lien du rapport:
http://www.cijoint.fr/cjlink.php?file=cj201101/cij2hPg2fE.txt
que faire à l'avenir pour éviter tout ce ramdam...???
Bonjour,
1/ Relance AD-Remover.
* Double-clique sur AD-R.exe .
* Au menu principal, choisis l'option "nettoyer" pour effectuer le nettoyage .
* Suis les invites.
* Le PC va te demander de redémarrer pour procéder au nettoyage. Accepte
Après redémarrage, un rapport va apparaitre. Poste le contenu dans ton prochain message.
Note : Il se trouve en C:\AD-Report-Clean.log
2/ Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
# Il te sera demandé d'installer la console de récupération.
Important. Fais le absolument.
Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
1/ Relance AD-Remover.
* Double-clique sur AD-R.exe .
* Au menu principal, choisis l'option "nettoyer" pour effectuer le nettoyage .
* Suis les invites.
* Le PC va te demander de redémarrer pour procéder au nettoyage. Accepte
Après redémarrage, un rapport va apparaitre. Poste le contenu dans ton prochain message.
Note : Il se trouve en C:\AD-Report-Clean.log
2/ Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
# Il te sera demandé d'installer la console de récupération.
Important. Fais le absolument.
Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
j'ai téléchargé combofix mais quand je veux l'exécuter, rien ne se passe. Je l'ai téléchargé plusieurs fois et j'ai recommencé au moins 10 fois mais rien...
jojomomo,
Pour combofix, essaye une dernière fois.
On passera à un autre outil sinon.
désinstalle-le pour pouvoir réessayer .
Sinon, cela ne sert à rien.
Pour se faire :
Démarrer --> exécuter --> tape Combofix /uninstall puis valide.
Attention à l'espace entre le c et le / .
N'oublie pas de désactiver antivirus et parefeu.
Conditions nécessaires.
---------------------------------------
Poste le rapport d'AD-Remover après suppression.
A+
Pour combofix, essaye une dernière fois.
On passera à un autre outil sinon.
désinstalle-le pour pouvoir réessayer .
Sinon, cela ne sert à rien.
Pour se faire :
Démarrer --> exécuter --> tape Combofix /uninstall puis valide.
Attention à l'espace entre le c et le / .
N'oublie pas de désactiver antivirus et parefeu.
Conditions nécessaires.
---------------------------------------
Poste le rapport d'AD-Remover après suppression.
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
c'est fait.
voilà le nouveau rapport:
======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 09/01/11 à 12:30
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (SCAN [3]) -> Lancé à 15:48:46 le 11/01/2011, Mode normal
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
HP_Propriétaire@JOAN ( )
============== RECHERCHE ==============
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.13 (fr)] **
-- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\j3r88dxh.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\HP_Propriétaire\\Mes documents\\ecole\\cycle 3\\français\\ORL\\voc...
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://www.searcheo.fr/recherche?search&q=
privacy.popups.showBrowserMessage, false
========================================
** Internet Explorer Version [7.0.5730.11] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 10/01/2011 (2679 Octet(s))
C:\Ad-Report-SCAN[1].txt - 09/01/2011 (2479 Octet(s))
C:\Ad-Report-SCAN[2].txt - 10/01/2011 (2535 Octet(s))
C:\Ad-Report-SCAN[3].txt - 11/01/2011 (446 Octet(s))
Fin à: 15:49:42, 11/01/2011
============== E.O.F ==============
voilà le nouveau rapport:
======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 09/01/11 à 12:30
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (SCAN [3]) -> Lancé à 15:48:46 le 11/01/2011, Mode normal
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
HP_Propriétaire@JOAN ( )
============== RECHERCHE ==============
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.13 (fr)] **
-- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\FireFox\Profiles\j3r88dxh.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\HP_Propriétaire\\Mes documents\\ecole\\cycle 3\\français\\ORL\\voc...
browser.startup.homepage, hxxp://www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.13
keyword.URL, hxxp://www.searcheo.fr/recherche?search&q=
privacy.popups.showBrowserMessage, false
========================================
** Internet Explorer Version [7.0.5730.11] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 10/01/2011 (2679 Octet(s))
C:\Ad-Report-SCAN[1].txt - 09/01/2011 (2479 Octet(s))
C:\Ad-Report-SCAN[2].txt - 10/01/2011 (2535 Octet(s))
C:\Ad-Report-SCAN[3].txt - 11/01/2011 (446 Octet(s))
Fin à: 15:49:42, 11/01/2011
============== E.O.F ==============
Re,
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.
netsvcs Drivers32 msconfig activex /md5start winlogon.exe explorer.exe wininit.exe /md5stop %SYSTEMDRIVE%\*.exe %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %appdata%\*.exe /s %APPDATA%\*. %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles CREATERESTOREPOINT
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Voila les liens :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijdyLc57w.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cij5TCaBAj.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijdyLc57w.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cij5TCaBAj.txt
jojomomo,
EDIT : Tu es sur que tu n'as pas réussi à passer combofix.
Il y a un dossier C:\Qoobox.
Il doit y avoir un rapport ComboFix.txt dans ce dossier.
Poste-le dans ton prochain message.
--------------------------------------------------------
Dans les rapports d'OTL, il est présent des DNS de serveurs d'ukraine.
ce qui signifie que ton surf était sans doute détourné vers ce pays.
Visualises-tu tes comptes en ligne ?
Je te conseille en tout cas de changer les mots de passe des différents services que tu utilises sur le web.
Les supports amovibles ( clés USN ou DD externe, ... ) sont également infectés.
ici, c'est différent. Il suffit de connecter sa clé à un PC infecté pour ensuite infecter son propre PC.
----------------------------------------
Relance OTL.exe.
* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
A+
Allez jusqu'au bout de la procédure de désinfection.
EDIT : Tu es sur que tu n'as pas réussi à passer combofix.
Il y a un dossier C:\Qoobox.
Il doit y avoir un rapport ComboFix.txt dans ce dossier.
Poste-le dans ton prochain message.
--------------------------------------------------------
Dans les rapports d'OTL, il est présent des DNS de serveurs d'ukraine.
ce qui signifie que ton surf était sans doute détourné vers ce pays.
Visualises-tu tes comptes en ligne ?
Je te conseille en tout cas de changer les mots de passe des différents services que tu utilises sur le web.
Les supports amovibles ( clés USN ou DD externe, ... ) sont également infectés.
ici, c'est différent. Il suffit de connecter sa clé à un PC infecté pour ensuite infecter son propre PC.
----------------------------------------
Relance OTL.exe.
* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :
:OTL
FF - prefs.js..extensions.enabledItems: team.ustart@gmail.com:0.1.10
[2010/10/31 19:12:11 | 000,000,000 | ---D | M] ("Add to uStart") -- C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com
File not found (No name found) -- C:\DOCUMENTS AND SETTINGS\HP_PROPRIéTAIRE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\J3R88DXH.DEFAULT\EXTENSIONS\TEAM.USTART@GMAIL.COM
O3 - HKU\S-1-5-21-1134862082-3089970515-3192565625-1008\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: [PCDrProfiler] File not found
O4 - HKLM..\Run: [Salestart] C:\Program Files\Fichiers communs\ErreurChasseur\strpmon.exe File not found
O4 - HKU\.DEFAULT..\RunOnce: [^SetupICWDesktop] File not found
O4 - HKU\S-1-5-18..\RunOnce: [^SetupICWDesktop] File not found
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.137,93.188.160.17
O33 - MountPoints2\{12a6ce08-7d82-11dd-97de-00032f4106f0}\Shell - "" = AutoRun
O33 - MountPoints2\{12a6ce08-7d82-11dd-97de-00032f4106f0}\Shell\1\Command - "" = J:\.\recycled\info.exe -- File not found
O33 - MountPoints2\{377caf2c-74ac-11df-9a05-00032f4106f0}\Shell\AutoRun\command - "" = KRIMGRUPA///kurbla.exe
O33 - MountPoints2\{377caf2c-74ac-11df-9a05-00032f4106f0}\Shell\open\command - "" = KRIMGRUPA///kurbla.exe
O33 - MountPoints2\{889a60b9-ab3a-11dd-980f-00032f4106f0}\Shell\1\Command - "" = F:\.\recycled\info.exe -- File not found
O33 - MountPoints2\{8e77bc24-6df0-11dc-96f7-00032f4106f0}\Shell\1\Command - "" = J:\.\recycled\info.exe -- File not found
O33 - MountPoints2\{f739a6d0-1334-11dc-96a4-00032f4106f0}\Shell\1\Command - "" = .\recycled\info.exe
[2008/01/21 17:28:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\erreurchasseur
[2008/01/21 17:28:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\SalesMon
:files
C:\Program Files\Fichiers communs\ErreurChasseur
:Commands
[EMPTYTEMP]
[EMPTYFLASH]
* Puis clique sur le bouton Correction en haut de la fenêtre.
* Laisse le programme travailler, le PC va redémarrer.
Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).
sauvegarde-le sur ton Bureau et poste-le après redémarrage.
Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log
A+
Allez jusqu'au bout de la procédure de désinfection.
tu me fais flipper avec les serveurs d'ukraine !!!!!! je pensais que c'etait que dans les films...genre "ennemi d'état" (puis je donc te mettre confiance?...that is THE question...)
as-tu des conseils pour que je protège mieux mon ordi ??
voila le log de OTL:
All processes killed
========== OTL ==========
Prefs.js: team.ustart@gmail.com:0.1.10 removed from extensions.enabledItems
C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com\skin folder moved successfully.
C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com\locale\fr-FR folder moved successfully.
C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com\locale\en-US folder moved successfully.
C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com\locale folder moved successfully.
C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com\content folder moved successfully.
C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com folder moved successfully.
Registry value HKEY_USERS\S-1-5-21-1134862082-3089970515-3192565625-1008\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{C4069E3A-68F1-403E-B40E-20066696354B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C4069E3A-68F1-403E-B40E-20066696354B}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\PCDrProfiler deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Salestart deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\^SetupICWDesktop deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\^SetupICWDesktop not found.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\\NameServer| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12a6ce08-7d82-11dd-97de-00032f4106f0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12a6ce08-7d82-11dd-97de-00032f4106f0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12a6ce08-7d82-11dd-97de-00032f4106f0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12a6ce08-7d82-11dd-97de-00032f4106f0}\ not found.
File J:\.\recycled\info.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{377caf2c-74ac-11df-9a05-00032f4106f0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{377caf2c-74ac-11df-9a05-00032f4106f0}\ not found.
File KRIMGRUPA///kurbla.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{377caf2c-74ac-11df-9a05-00032f4106f0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{377caf2c-74ac-11df-9a05-00032f4106f0}\ not found.
File KRIMGRUPA///kurbla.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{889a60b9-ab3a-11dd-980f-00032f4106f0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{889a60b9-ab3a-11dd-980f-00032f4106f0}\ not found.
File F:\.\recycled\info.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8e77bc24-6df0-11dc-96f7-00032f4106f0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8e77bc24-6df0-11dc-96f7-00032f4106f0}\ not found.
File J:\.\recycled\info.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f739a6d0-1334-11dc-96a4-00032f4106f0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f739a6d0-1334-11dc-96a4-00032f4106f0}\ not found.
File .\recycled\info.exe not found.
C:\Documents and Settings\All Users\Application Data\erreurchasseur\Data folder moved successfully.
C:\Documents and Settings\All Users\Application Data\erreurchasseur folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SalesMon\Data folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SalesMon folder moved successfully.
========== FILES ==========
C:\Program Files\Fichiers communs\ErreurChasseur folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 30917 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: HP_Propriétaire
->Temp folder emptied: 196347949 bytes
->Temporary Internet Files folder emptied: 323140661 bytes
->Java cache emptied: 109729823 bytes
->FireFox cache emptied: 93718358 bytes
->Flash cache emptied: 1625937 bytes
User: HP_PropriÚtaire
->Temp folder emptied: 51055798 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 5496318 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 113777 bytes
%systemroot%\System32 .tmp files removed: 3244544 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 19368286 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 95108907 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 12456961 bytes
Total Files Cleaned = 869,00 mb
[EMPTYFLASH]
User: All Users
User: Default User
User: HP_Propriétaire
->Flash cache emptied: 0 bytes
User: HP_PropriÚtaire
User: LocalService
User: NetworkService
Total Flash Files Cleaned = 0,00 mb
OTL by OldTimer - Version 3.2.20.1 log created on 01112011_205746
Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\Perflib_Perfdata_760.dat scheduled to be moved on reboot.
Registry entries deleted on Reboot...
as-tu des conseils pour que je protège mieux mon ordi ??
voila le log de OTL:
All processes killed
========== OTL ==========
Prefs.js: team.ustart@gmail.com:0.1.10 removed from extensions.enabledItems
C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com\skin folder moved successfully.
C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com\locale\fr-FR folder moved successfully.
C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com\locale\en-US folder moved successfully.
C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com\locale folder moved successfully.
C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com\content folder moved successfully.
C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\j3r88dxh.default\extensions\team.ustart@gmail.com folder moved successfully.
Registry value HKEY_USERS\S-1-5-21-1134862082-3089970515-3192565625-1008\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{C4069E3A-68F1-403E-B40E-20066696354B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C4069E3A-68F1-403E-B40E-20066696354B}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\PCDrProfiler deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Salestart deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\^SetupICWDesktop deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\^SetupICWDesktop not found.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\\NameServer| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12a6ce08-7d82-11dd-97de-00032f4106f0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12a6ce08-7d82-11dd-97de-00032f4106f0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12a6ce08-7d82-11dd-97de-00032f4106f0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12a6ce08-7d82-11dd-97de-00032f4106f0}\ not found.
File J:\.\recycled\info.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{377caf2c-74ac-11df-9a05-00032f4106f0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{377caf2c-74ac-11df-9a05-00032f4106f0}\ not found.
File KRIMGRUPA///kurbla.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{377caf2c-74ac-11df-9a05-00032f4106f0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{377caf2c-74ac-11df-9a05-00032f4106f0}\ not found.
File KRIMGRUPA///kurbla.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{889a60b9-ab3a-11dd-980f-00032f4106f0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{889a60b9-ab3a-11dd-980f-00032f4106f0}\ not found.
File F:\.\recycled\info.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8e77bc24-6df0-11dc-96f7-00032f4106f0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8e77bc24-6df0-11dc-96f7-00032f4106f0}\ not found.
File J:\.\recycled\info.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f739a6d0-1334-11dc-96a4-00032f4106f0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f739a6d0-1334-11dc-96a4-00032f4106f0}\ not found.
File .\recycled\info.exe not found.
C:\Documents and Settings\All Users\Application Data\erreurchasseur\Data folder moved successfully.
C:\Documents and Settings\All Users\Application Data\erreurchasseur folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SalesMon\Data folder moved successfully.
C:\Documents and Settings\All Users\Application Data\SalesMon folder moved successfully.
========== FILES ==========
C:\Program Files\Fichiers communs\ErreurChasseur folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 30917 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: HP_Propriétaire
->Temp folder emptied: 196347949 bytes
->Temporary Internet Files folder emptied: 323140661 bytes
->Java cache emptied: 109729823 bytes
->FireFox cache emptied: 93718358 bytes
->Flash cache emptied: 1625937 bytes
User: HP_PropriÚtaire
->Temp folder emptied: 51055798 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 5496318 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 113777 bytes
%systemroot%\System32 .tmp files removed: 3244544 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 19368286 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 95108907 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 12456961 bytes
Total Files Cleaned = 869,00 mb
[EMPTYFLASH]
User: All Users
User: Default User
User: HP_Propriétaire
->Flash cache emptied: 0 bytes
User: HP_PropriÚtaire
User: LocalService
User: NetworkService
Total Flash Files Cleaned = 0,00 mb
OTL by OldTimer - Version 3.2.20.1 log created on 01112011_205746
Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\Perflib_Perfdata_760.dat scheduled to be moved on reboot.
Registry entries deleted on Reboot...
jojomomo,
le détournement DNS n'est pas sorti d'un film.
https://www.ip-adress.com/ip-address/ipv4/93.188.162.137
--------------------------------------
tu ne m'as pas répondu pour combofix.
As-tu un rapport ComboFix.txt à poster comme je te l'ai indiqué.
A+
le détournement DNS n'est pas sorti d'un film.
https://www.ip-adress.com/ip-address/ipv4/93.188.162.137
--------------------------------------
tu ne m'as pas répondu pour combofix.
As-tu un rapport ComboFix.txt à poster comme je te l'ai indiqué.
A+
quand j ai essayé de lancer combo fix, il s est arrete car j'ai deux logiciels combofix telecharges et le deuxieme a s'appelle combofix (2) et cela semble gener le fonctionnement du programme...
Jojomomo,
Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tu l'installes. Choisis les options par défaut.
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir.
# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
Le scan dure environ une heure.
A+
Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tu l'installes. Choisis les options par défaut.
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir.
# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
Le scan dure environ une heure.
A+
Jojomomo,
Je t'ai indiqué la méthode pour désinstaller combofix.
Avoir deux éxecutables, cela ne pose pas de problème.
De toute façon, tu n'en lances qu'un seul.
translucides --> dossiers cachés
---------------------------------------------
laisse malwarebytes faire son travail.
Tu me diras ensuite si pour gomeo il y a des améliorations.
A+
quand j ai essayé de lancer combo fix, il s est arrete car j'ai deux logiciels combofix telecharges et le deuxieme a s'appelle combofix (2) et cela semble gener le fonctionnement du programme...
Je t'ai indiqué la méthode pour désinstaller combofix.
Avoir deux éxecutables, cela ne pose pas de problème.
De toute façon, tu n'en lances qu'un seul.
de plus dans mes dossier, certains sont écrits en bleu ou sont translucides...ça veut dire quoi ?
translucides --> dossiers cachés
---------------------------------------------
laisse malwarebytes faire son travail.
Tu me diras ensuite si pour gomeo il y a des améliorations.
A+
Re,
Au juste, tu ne m'as pas dit si il y avait des améliorations pour gomeo.
--------------------------------
Redémarre en mode sans échec avec prise en charge réseau
Pour cela , au redémarrage, tapote la touche F5 ou F8.
puis suis les invites.
Choisis ton compte.
En mode sans échec avec prise en charge réseau
# vérifie si tu as accès au net.
Si ce n'est pas le cas, tu lanceras tout de même l' outil.
# Double clique sur malwarebytes et suis les invites comme je te les ai indiqué" dans le post précédent.
Imprime- les s'il le faut.
poste le rapport obtenu.
A+
Au juste, tu ne m'as pas dit si il y avait des améliorations pour gomeo.
--------------------------------
Redémarre en mode sans échec avec prise en charge réseau
Pour cela , au redémarrage, tapote la touche F5 ou F8.
puis suis les invites.
Choisis ton compte.
En mode sans échec avec prise en charge réseau
# vérifie si tu as accès au net.
Si ce n'est pas le cas, tu lanceras tout de même l' outil.
# Double clique sur malwarebytes et suis les invites comme je te les ai indiqué" dans le post précédent.
Imprime- les s'il le faut.
poste le rapport obtenu.
A+
