Probleme virus/gomeo

Question

Bonjour, 
Voila depuis quelque jours je pense avoir un virus
J'ai un probleme avec Gomeo qui s'ouvre a chaque recherche Google
Mon pc est tres lent a démarrer et ce soir il a redemarré 2x à l'allumage

J'ai deja fait scan complet avec AntiVir, spybot et Malwarebyte
J'ai mis en quarantaire ou "Supprimer la sélection " (avec malware)
Mais ca ne change pas grand chose, donc je ne sais pas quoi faire

Merci de votre aide



Configuration: Windows Vista / Firefox 3.5.16

Smart91 · Answer

Bonjour,    

Tu dois être infecté par le virus Batimal pour vérifier tu vas faire ceci:    

Va sur ce site https://www.virustotal.com/gui/    
- Clique sur parcourir    
- Dans nom du fichier colle ce fichier : C:\Windows\Explorer.exe    
- Clique sur Send File et puis reanalyze    
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport    

Et tu fais la même chose pour les fichiers ci-dessous:   
C:\Windows\system32\winlogon.exe
C:\Windows\System32\Wininit.exe   
   
Smart   
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Cindy · Answer

Les fichiers ci dessous?

Hum je sais pas si c'est vraiment ca que je dois te donner pour le rapport, mais bon j'y connais pas grand chose 

http://www.cijoint.fr/cjlink.php?file=cj201102/cijo09lhaA.txt

Smart91 · Answer

Quand tu obtiens le rapport en analysant le fichier sur Virustotal, il faut que tu copies l'adresse du lien du rapport, lien qui se trouve dans la barre d'adresse en haut du navigateur internet. 
Une fois ce lien copié tu le colles dans ta réponse 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Cindy · Answer

Explorer.exe 
http://www.virustotal.com/file-scan/report.html?id=c8ecd4bd0c167fe28e73219b6c366b2386472c78858d3b8448c5126df72aac45-1296770409

winlogon.exe 
http://www.virustotal.com/file-scan/report.html?id=3c35607c86b9bd4e234359a5a2eac6428ad02752cecf65608951e62843e657f4-1296771935

Wininit.exe 
http://www.virustotal.com/file-scan/report.html?id=ae9040704a7cefebfddc776f08ab41aafda9d353bf3f4749bbbee7137ed042f2-1296772105

Smart91 · Answer

Les fichiers ne sont pas patchés.

On va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

Cindy · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cijtpO7EUk.txt

Smart91 · Answer

- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 1 [SCAN] et valide
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe

Smart

Cindy · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cijdPWEUc1.txt

Smart91 · Answer

Va sur VirusTotal et scan ces fichiers et poste les liens vers les rapports:

C:\Users\Cindy\AppData\Local\Temp\symlcsv1.exe
C:\Users\Cindy\AppData\Local\Temp\wcxnmeraos.exe
C:\Users\Cindy\AppData\Local\Temp\WLM2011Installer.exe 

Smart

Cindy · Answer

symlcsv1.exe 
http://www.virustotal.com/file-scan/report.html?id=12a2c537a1bbb2c4f15e94d1cbcc9987d64ac2288fa6e0bff3d69818c2a21d8a-1296776341

wcxnmeraos.exe
http://www.virustotal.com/file-scan/report.html?id=f19f930368ba5654909c6207e603e68f40b845ed9bf8a0382fbfb953f32ebf2c-1296776593

WLM2011Installer.exe 
http://www.virustotal.com/file-scan/report.html?id=48ecb34b744c0693183b7ee290aabd17d8d3bd2f36b411195ade15bf3e03df7f-1296776665

Smart91 · Answer

Tu vas faire ceci:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[MD5.00000000000000000000000000000000] [APT] [931cE3a] (.Pas de propriétaire.) -- C:\Users\Cindy\AppData\Local\Temp\0.08879295262332454.exe (.not file.)    [HKCU\Software\Zugo]
[MD5.3BF93927896DBD688C6449F93717837E] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Cindy\AppData\Local\Temp\wcxnmeraos.exe   [155638]
[MD5.00000000000000000000000000000000] [APT] [k931wSK] (.Pas de propriétaire.) -- C:\Users\Cindy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\A173THIR\jminguiqjviliue[1].exe (.not file.)
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Smart

Cindy · Answer

========== Processus mémoire ==========
C:\Users\Cindy\AppData\Local\Temp\wcxnmeraos.exe [155638]  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users\cindy\appdata\local	emp\0.08879295262332454.exe (.not file.)]  => Fichier absent
c:\users\cindy\appdata\local\microsoft\windows	emporary internet files\content.ie5\a173thir\jminguiqjviliue[1].exe (.not file.)  => Fichier absent

========== Tache planifiée ==========
Task : 931cE3a  => Tâche supprimée avec succès
Task : k931wSK  => Tâche supprimée avec succès


========== Récapitulatif ==========
1 : Processus mémoire
2 : Fichier(s)
2 : Tache planifiée


End of the scan

Smart91 · Answer

Redémarre le PC et dis moi si tu as toujours les pages Gomeo

Smart

Cindy · Answer

Alors deja je n'ai pas su redémarrer mon PC normalement
J'ai cliqué sur redémarrer, au bout de plusieurs minutes rien qui bouge ou change, je re-clique meme refrain, de meme avec éteindre. J'ai donc couper le PC manuellement
Il est toujours aussi long au démarrage, et encore une fois quand il a eu fini de démarrer il m'a mit un ecran bleu avec un texte en Anglais que je n'ai pas le temps de lire (l'ecran bleu reste quelque seconde avant de redémarrer seul)
Quand il s'est rallumer, tres long et il a mis pendant un moment un ecran gris (qui est la couleur de mon fond d'ecran) sans afficher icone ou barre des tache pendant quelque minutes.

Point positif, le probleme Gomeo a l'air d'etre reglé. J'ai fait 3-4 recherches differentes je n'ai pas rencontrer de probleme (mais a savoir que je ne l'avais pas systematiquement)

Smart91 · Answer

Va sur ce lien et suis la procédure. Attention le tuto est long, bien tout lire. 
Fais l'étape 1 et l'étape 2 si il ya des erreurs détectées. N'hésite pas à revenir sur le forum et à poster les fichiers log si tu as des pb de compréhension: 

http://www.vista-xp.fr/forum/topic346.html 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Cindy · Answer

Apres verification, j'ai du reparer les fichiers
Il m'a afficher ca a la fin, je ne sais pas vraiment quoi faire apres, je prefere demander au lieu de faire n'importe quoi


Démarrage de la phase de vérification de l'analyse du système.
La vérification 100% est terminée.La protection des ressources Windows a trouvé
des fichiers endommagés, mais
n'a pas réussi à tous les réparer. Des détails sont inclus dans le journal
CBS.Log windir\Logs\CBS\CBS.log. Par exemple C:\Windows\Logs\CBS\CBS.log

Smart91 · Answer

Il faut que tu postes ces deux fichiers via cijoint

Est-ce que tu as fait la deuxième partie du lien que je t'ai donné pour réparer les fichiers endommagés ? 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Cindy · Answer

J'ai fait le sfc /verifyonly, puis sfc /scannow

Bon apres tout ca j'ai eteinds mon pc parce que je partais.
Ce matin je l'allume, pas moyen d'avoir une connexion internet (je suis sur un autre PC)
Et a chaque fois que j'essaye de me connecter au reseau j'ai le message suivant

"Processus hote pour les services Windows a cessé de fonctionner et a été arrété ..."

Smart91 · Answer

Est-ce que tu poster les rapports sfc en les copiant sur une clé et les postant via cijoint depuis l'autre PC.

Smart

Cindy · Answer

Ils sont enregistrés ou les fichiers?

J'ai fait que le point 1 & 2
Apres je ne savais pas vraiment ce qu'il fallait faire

Smart91 · Answer

Le log est là ==> C:\Windows\Logs\CBS\CBS.log

Smart

Cindy · Answer

C'est possible que mon fichier soit trop gros pour cijoint?

Smart91 · Answer

Essaie de le renommer avec l'extension .txt

Smart

Cindy · Answer

Je vais essayer comme ca mais le fichier fait 28Mo

Cindy · Answer

Meme comme ca impossible a le charger...

Il y a une solution ou le mieux est de formater?
Vu tous les problemes qui s'ajoutent au fur et a mesure...

Smart91 · Answer

Laisse tomber cela ne passera pas je me renseigne. 

En attendant est que tu peux faire un scan ZHPDiag et paoste le rapport via cijoint 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Cindy · Answer

D'accord je fais ca

Cindy · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cij2WdpZrE.txt

Smart91 · Answer

Je ne vois pas ce qui peut bloquer ta connexion Internet
Il reste des traces de petites infections

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKCU\Software\Zugo]
[MD5.68CA45DAF2A425E9719B3122EDDDB343] [SPRF] (.Google Inc. - Google Update.) -- C:\Users\Cindy\AppData\Local\Temp\goopdate.dll8d47d
O69 - SBI: SearchScopes [HKCU] {5F3BEBD5-F6C6-A4B8-EDD2-A6F5F61813A8} [DefaultScope] - (Ask) - http://www.buzqo.com

---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 

Smart

Cindy · Answer

Rapport de ZHPFix 1.12.3248 par Nicolas Coolman, Update du 03/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-05-02-2011-16-38-52.txt
Run by Cindy at 05/02/2011 16:38:52
Windows Vista Home Premium Edition, 32-bit  (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Module(s) mémoire ==========
C:\Users\Cindy\AppData\Local\Temp\goopdate.dll8d47d  => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
HKCU\Software\Zugo  => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {5F3BEBD5-F6C6-A4B8-EDD2-A6F5F61813A8} [DefaultScope] - (Ask) - http://www.buzqo.com  => Clé absente


========== Récapitulatif ==========
1 : Module(s) mémoire
2 : Clé(s) du Registre


End of the scan

Smart91 · Answer

Comment se comporte ton PC ? As-tu toujours des pb de lenteurs et de démarrage et d'accés à Internet ?

Smart

Cindy · Answer

Helas tous les problemes sont encore la...

Si il te faut des renseignements a propos des problemes n'hesite pas

Smart91 · Answer

Franchement je ne sais plus quoi te dire. Je ne vois plus d'infection.
On va essayer ceci
tape sur la touche Vista + R, dans executer tu tapes cmd et tu fais clic droit executer en tant qu'admin

Tu arrives dans une fenêtre noire:
Tu tpes ceci:
CHKDSK /F puis entrée
A la question tu réponds Oui et tu redémarres le PC

Smart

Cindy · Answer

Je ne sais pas faire executer en tant qu'admin quand je fais clic droit

Smart91 · Answer

Lance le normalement dans ce cas

Smart

Cindy · Answer

Acces refusé vous n'avez pas de privileges suffisants
Vous devez invoquer cet utilitaire dans un mode d'execution elevé.

Smart91 · Answer

Clique sur demarrer ==> Clic droit sur invite de commande et exécuter en tant qu'admin

Smart

Cindy · Answer

Voila c'est fait

Smart91 · Answer

Est-ce que tu as redémarré le pC ? 
Au démarrage CHKDSK se lance et répare les secteurs défectueux
Si tu as ce message
x unités d'allocation perdues trouvées dans 3 chaînes.
Convertir les chaînes perdues en fichiers ?

Réponds O pour Oui

Smart

Cindy · Answer

Oui j'ai redemarré mais je n'ai pas rencontré le message suivant
x unités d'allocation perdues trouvées dans 3 chaînes.
Convertir les chaînes perdues en fichiers ?

Smart91 · Answer

Mais est-ce que CHKDSK s'est lancé au démarrage ?

Smart

Cindy · Answer

Oui

Smart91 · Answer

Je suppose que tu as toujours les mêmes problèmes ? 
Je ne sais plus quoi te dire, pour moi tu n'es plus infecté. 
La solution du formatage est une possibilité, mais fais une sauvegarde de tes données personnels avant.

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Cindy · Answer

Merci pour ton aide et ta rapidité a me repondre =)

Je vais t'embeter encore un peu
Le probleme c'est que je ne peux recuperer mes documents étant donné que l'ecran bleu s'affiche systématiquement et qu'en mode sans echec il ne detecte aucun port USB

Mais j'ai su noter ce que m'affiche l'ecran bleu.

"A problem has been detected and windows has been shut down to prevent damage to your computer.

IRQL_NOT_LESS_OR_EQUAL

If this is the first time you've seen this stop error screen, restart computer. If this screen appears again, follow these steps:

Check to make sure any new hardware or software is properly installed. If this is a new installation, ask your hardware or software manufacturer for any windows update you might need.

If problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need to use Safe mode to remove or disable components, restart your computer, press F8 to select Advanced Startup options, and then select safe mode.

Technical information:
***STOP: 0x0000000A (0x0000006C, 0x0000001B, 0x00000001, 0x824CE809)

Collecting data for crash dump...
Initializing disk for crash dump...
Beginning dump of physical memory.
Dumping physical memory to disk: 100
Physical memory dump complete.
Contact your system admin or technical support for further assistance."

Smart91 · Answer

On a cette erreur, c'est lorsque l'on a installé un nouveau matériel sur le PC ou logiciel. Soit une mauvaise installation ou alors un pilote non à jour.

De plus je ne comprends pas pourquoi tu ne peux pas sauvegarder tes documents, car tu n'as pas la page bleue à tous les coups, puisque tu as pu lancer tous les programmes que je t'ai fait installer.

Smart

Cindy · Answer

La page bleu était lors du 1er démarrage les jours precedents, alors que la c'est systematique
Il n'y a qu'avec le mode sans echec que je suis tranquille, mais je n'arrive pas a insérer de clé USB ou autre quand je suis sous ce mode

Smart91 · Answer

Si tu as le CD Windows va sur le lien ci-dessous et suis la procédure:
https://www.malekal.com/reparer-windows-vistaseven/

Smart

Probleme virus/gomeo

47 réponses

Votre réponse

Discussions similaires

Newsletters