Goméo sur XP, même après réinstall !!! Résolu/Fermé

Question

Bonjour, 
depuis quelques semaines j'ai l'adware gomeo dans un netbook. Juste après avoir eu le malware windows security alert, dont je me suis débarrassé (et récupéré mon bureau mes infos)... Je ne sais pas si c'est lié mais c relou. D'autant que n'arrivant pas à m'en débarrasser avec les antimalware classiques, j'ai restauré mon système. C un netbook alors pas de lecteur de dvd, il y a un système de restauration samsung de l'état de l'ordi à l'achat. Donc je fais ça, je perds tous mes soft évidemment, je relance, une petite recherche sur google nickel, je souris, une deuxième et gomeo !!!! P de b de m...
j'ai donc fait un scan avec ad-remover, dont voici le rapport :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 14:57:28 le 17/06/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
francky@YOUR-F401E8581C ( ) 
 
============== RECHERCHE ==============



Clé trouvée: HKLM\Software\ASKInstaller


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [6.0.2900.5512] ****

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 17/06/2011 14:57:52 (441 Octet(s)) 

Fin à: 14:58:23, 17/06/2011 
 
============== E.O.F ============== 

Qu'en dites vous ??? Merci les gars (et les filles) !




Configuration: Windows XP / Internet Explorer 6.0

Smart91 · Answer

Bonjour,

Relance AD-Remover et choisis "nettoyer" et poste le rapport.

Ensuite tu vas faire ceci:

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

Smart

Smart91 · Answer

Ok. J'attends le rapport TDSSKiller

Smart

Smart91 · Answer

Je viens de rentrer. 
As-tu bien redémarré le PC. Sinon fais le. 

Maintenant tu vas faire ceci: 
C'est un logiciel pour diagnostiquer le PC et voir les diverses infections 

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou depuis ce lien si le premier a des soucis: 
http://www.moncompteur.com/compteurclick.php?idLink=18026  

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 
  
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.  
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
- Si tu possèdes Avast 6 comme antivirus, à l'alerte choisis "lancer normalement"  
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix) 
-  Clique sur la loupe pour lancer l'analyse.  
-  Laisse l'outil travailler, il peut être assez long.  
-  Ferme ZHPDiag en fin d'analyse.  
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/  
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).  
-  Sélectionne le fichier ZHPDiag.txt.  
-  Clique sur "Cliquez ici pour déposer le fichier".  
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.  
-  Copie ce lien dans ta réponse. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Est-ce que tu as bien redémarré le PC avant de lancer ZHPDiag  

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

On va faire autrement Relance ZHPHDIag clique  sur le tournevix et décoche la ligne O80. Refais un scan et poste le rapport via cijoint

Smart

Smart91 · Answer

Il reste des traces,

Tu vas faire ceci:
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Favoris Bluetooth.lnk - Clé orpheline
O64 - Services: CurCS - (.not file.) - 08510641 (08510641)  .(...) - LEGACY_08510641
O64 - Services: CurCS - (.not file.) - 44621027 (44621027)  .(...) - LEGACY_44621027
EmptyTemp
EmptyFlash
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC

Smart

Smart91 · Answer

OK. 
Relance ZHPDiag, clique sur le tournevis, recoche la ligne O80, refais un scan et poste le rapport vi cijoint

Smart

Smart91 · Answer

On va faiare autrement

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Mais ce n'est pas le rapport MBAM qu ta sposté mais un rapprt ZHPDiag

Peu importe tu vas faire ceci:

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et tu redémarres le PC

Smart

Smart91 · Answer

Il ya qq chose qui me gène.
Refais un scan ZHPDiag et poste le rapport via cijoint

Smart

Smart91 · Answer

@gomby 

Il y a une nouvelle mise à jour de ZHPDiag 

Relance le, clique sur la flèche verte pour intalller la mise à jour. Refais un scan et poste le rapport via cijoint 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

g3n-h@ckm@n · Answer

mouais y'a ca à surveiller :

R0 - VolSnap () -> (?)

je laisse smart continuer avec toi :)

Merci

Smart91 · Answer

Je ne peux pas lire le rapport pre_scan. Il est vide.

Smart

Smart91 · Answer

Désolé pour le retard de ma réponse. beaucoup de boulot en ce moment

Mais imossible de lire le rapport, j'arrive sur une page blanche avec les deux derniers liens.

Smart

Smart91 · Answer

@ G3n

En effet "R0 - VolSnap () -> (?)"  amène à se poser des question
Pourtant dans le rapport TDSSKiller du début de la discussion tout parait normal concernant ce driver et de plus il a toujours son bureau..
On va creuser. 

@gomby

Tu vas faire ceci:
Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\WINDOWS\system32\drivers\VolSnap.sys
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet.

Smart

Smart91 · Answer

Bon il est oK.

Refais un scan ZHPDiag et poste le rapport vi cijoint

Smart

Smart91 · Answer

On va vérifier autrement

Télécharge mbr.exe de Gmer ici ==> http://www2.gmer.net/mbr/mbr.exe 
et enregistre le fichier sur le Bureau. 

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
- Double clique sur mbr.exe 
- Un rapport sera généré : mbr.log

En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 
Ne fais rien d'autre copie seulement le rapport dans ta réponse

Smart

Smart91 · Answer

Je n'ai pas compris ce que tu as fait. Tu as pu redémarrer

Smart

Smart91 · Answer

Je suppose que tu as un notebook et surement de marque samsung. et tu n'as pas de CD Windows. 
Si c'est la cas, c'est donc un PC tatoué. On ne vas donc pas touché le MBR.

Smart

Smart91 · Answer

On passe à la phase finale.
 il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Fais les mises à jour suivantes:
Mise à jour IE8
https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
ou alors par windowsupdate.

Mise à Jour Avast:
Désinstalle Avast 4 ==> https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/
Installe Avast 6 ==> https://www.avast.com/fr-fr/free-antivirus-download

Mise à jour Java 6 update 26 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 26

Mise à jour Adobe Reader 10.0.1
Désinstalle Adobe
Installer Adobe 10.0.1
Décoche la case "Inclure dans botre téléchargement la barre Google"

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\WINDOWS\RTHDCPL.exe
OPT:O4 - HKLM\..\Run: [Alcmtr] . (.Realtek Semiconductor Corp. - Realtek Azalia Audio - Event Monitor.) -- C:\WINDOWS\ALCMTR.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-2450493572-2409832680-2404327666-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - Global Startup: C:\Documents And Settings\francky\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.3.lnk . (...)  -- C:\Program Files\OpenOffice.org 3\program\quickstart.exe
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 06/04/2011 349472 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
CTFDisabled
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne Suppression 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation. 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Installe l'extension de sécurité adblock plus 
pour bloquer les publicités 
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection


Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas 

Smart

Smart91 · Answer

Heureux de t'avoir aidé

Smart

Smart91 · Answer

Il faut dire que depuis 7 jours il y a de l'eau qui a coulé sous le pont :-(

Relance ZHPDiag clique sur la flèche verte pour faire la mise à jour.

Et refais la manip avec ZHPFix

Smart

Smart91 · Answer

Tu as dû réinfecter ton entre temps.

Refais un scan ZHPDiag et poste le rapport via cijoint

Smart

Smart91 · Answer

Le rapport ne montre rien d'infectieux. mais comme je ne vois pas les lignes O80, je pense que tu as une infection MBR.
Mais le PC étant ce que l'on appelle dans notre jargon tatoué, c'est à dire que le fabricant a modifié le MBR, je ne peux pas utiliser les outils traditionnels pour réécrire le MBR au risque de planter le PC.
Sois tu restes comme ceci. Ce que je déconseille.
Soit il faut que que tu utilises la partition de recovery sur ton PC pour revenir à la configuration usine.
Mais avant de faire cela il faut faire une sauvegarde de tous tes documents personnels ( doc, photos, fichiers de travail etc) et il faudra réinstaller les logiciels que tu utilises.

Voilà dis moi ce que tu en penses

Smart

Smart91 · Answer

C'est vrai j'avais oublié
Je vais vérifier qq chose à tout hasard.

Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Windows\Explorer.exe
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet

Tu fais la m^me chose pour ce fichier: C:\WINDOWS\system32\Winlogon.exe
et tu poste le lien vers le rapport

Smart
 --
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Les fichiers sont légirime. Je ne sais que dire de plus.
Ton PC n'a plus de redirection Gomeo. le dernier rapport ne montre rien
Excepté le plantage de ZHPDiag aux lignes O80
Soit tu ne touches rien, soit tu fais une restauration usine.
N'ouble pas demettre à jour Internet explorer à la version 8

Smart

Smart91 · Answer

Oui. car les mises à jour Windows se font par IE

Smart

Goméo sur XP, même après réinstall !!!

27 réponses

Discussions similaires