Sujet Précédent Sujet Suivant

Infection Gomeo... et plus encore?

Fermé
JB - 23 août 2011 à 13:42
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 - 23 août 2011 à 17:20
Bonjour,

Je pense être infecté par le virus GOMEO depuis trois jours maintenant.
J'ai suivi les conseils proposés sur ce site : http://www.commentcamarche.net/faq/29929-supprimer-gomeo

J'ai pu effectuer un scan avec ad-remover.
Puis ne sachant pas quoi faire du rapport de scan, j'ai essayé d'utiliser d'autres outils comme Docteur Spyware ou MalwareBytes. Pas de problème à l'installation de ceux-ci, je lance les outils... et là le logiciel s'arrête de lui-même et quand je le relance en cliquant sur l'icône du bureau, un message me disant que je ne dois pas avoir les droits pour l'utiliser (je suis en mode administrateur).
J'ai aussi essayé de télécharger AVAST... Celui je ne peux m^me pas l'installer.

Infra, vous trouverez le rapport de scan d'Ad-Remover. Si quelqu'un me donner la procédure à suivre pour m'aider à supprimer ce truc qui m'énerve et qui m'a bouffé mes trois dernières nuits...

CONFIG DU PC: EeePC 1000HE - Win XP

Bien cordialement et merci d'avance

Infra le rapport Ad-Remover d'hier soir:


======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 22:02:08 le 22/08/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Jean-Baptiste@YOUR-G6C7P36MHE ( )

============== RECHERCHE ==============


Fichier trouvé: C:\Documents and Settings\Jean-Baptiste\Application Data\Mozilla\FireFox\Profiles\y52g3nml.default\searchplugins\ask.xml
Dossier trouvé: C:\Documents and Settings\Jean-Baptiste\Application Data\pdfforge
Dossier trouvé: C:\Program Files\pdfforge Toolbar
Dossier trouvé: C:\Documents and Settings\Jean-Baptiste\Application Data\Search Settings

-- Fichier ouvert: C:\Documents and Settings\Jean-Baptiste\Application Data\Mozilla\FireFox\Profiles\y52g3nml.default\Prefs.js --
Ligne trouvée: user_pref("browser.search.defaultenginename", "Ask");
Ligne trouvée: user_pref("browser.search.order.1", "Ask");
Ligne trouvée: user_pref("extensions.snipit.chromeURL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&...
Ligne trouvée: user_pref("keyword.URL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=");
-- Fichier Fermé --


Clé trouvée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé trouvée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé trouvée: HKLM\Software\pdfforge
Clé trouvée: HKLM\Software\Search Settings
Clé trouvée: HKCU\Software\pdfforge
Clé trouvée: HKCU\Software\Search Settings
Clé trouvée: HKCU\Software\AppDataLow\Software\pdfforge
Clé trouvée: HKLM\Software\Classes\Installer\Products\B8CF0B8BB96E5124FAA1B4FD2FD097B4
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\B8CF0B8BB96E5124FAA1B4FD2FD097B4
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B}
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [6.0 (fr)] ****

Plugins\ieatgpc.dll (Cisco WebEx LLC)
Plugins\npatgpc.dll (Cisco WebEx LLC)
Plugins\npDivxPlayerPlugin.dll (DivX, Inc)
HKCU_MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0 (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Documents and Settings\Jean-Baptiste\Application Data\Mozilla\FireFox\Profiles\y52g3nml.default --
Searchplugins\ask.xml (?)
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Jean-Baptiste\\Bureau
Prefs.js - browser.search.defaultenginename, Ask
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
Prefs.js - browser.startup.homepage_override.buildID, 20110811165603
Prefs.js - browser.startup.homepage_override.mstone, rv:6.0
Prefs.js - keyword.URL, hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=

========================================

**** Internet Explorer Version [6.0.2900.5512] ****

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://www.ask.com/?o=101764&l=dis
HKLM_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKCU_URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - "?" (C:\Program Files\pdfforge Toolbar\SearchSettings.dll)
HKCU_SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420} - "Ask Search" (hxxp://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&tool...)
HKLM_Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402} (C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{B922D405-6D13-4A2B-AE89-08A030DA4402} - "pdfforge Toolbar" (C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll)
BHO\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - "?" (C:\Program Files\pdfforge Toolbar\SearchSettings.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 22/08/2011 22:02:18 (5108 Octet(s))

Fin à: 22:04:27, 22/08/2011

============== E.O.F ==============

4 réponses

Réponse 1 / 4
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
23 août 2011 à 13:45
Bonjour,
1/
Relance Ad-remover puis choisi "Nettoyer" et poste le rapport stp!

2/
Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

. Télécharge Defogger (de jpshortstuff) sur ton Bureau

. Lance le

Une fenêtre apparait : clique sur "Disable"

. Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

Attention, avant de commencer, lit attentivement la procédure

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

? Fais un clic droit sur ce lien, enregistre le dans ton bureau

Voici Aide combofix


? /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


? Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

? ? SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

? Mets-le en langue française F

? Tape sur la touche 1 (Yes) pour démarrer le scan.


? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

?En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

? Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

? ? /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

? Note : Le rapport se trouve également là : C:\ComboFix.txt


0
Réponse 2 / 4
JB
23 août 2011 à 13:51
Merci de la réponse rapide.
Je télécharge COMBOFIX.

Infra le rapport de nettoyage d'AD-Remover:

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:24:15 le 22/08/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Jean-Baptiste@YOUR-G6C7P36MHE ( )

============== ACTION(S) ==============


Fichier supprimé: C:\Documents and Settings\Jean-Baptiste\Application Data\Mozilla\FireFox\Profiles\y52g3nml.default\searchplugins\ask.xml
Dossier supprimé: C:\Documents and Settings\Jean-Baptiste\Application Data\pdfforge
Dossier supprimé: C:\Program Files\pdfforge Toolbar
Erreur suppression dossier: C:\Documents and Settings\Jean-Baptiste\Application Data\Search Settings

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Jean-Baptiste\Application Data\Mozilla\FireFox\Profiles\y52g3nml.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask");
Ligne supprimée: user_pref("browser.search.order.1", "Ask");
Ligne supprimée: user_pref("extensions.snipit.chromeURL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&...
Ligne supprimée: user_pref("keyword.URL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=");
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKLM\Software\pdfforge
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKCU\Software\pdfforge
Clé supprimée: HKCU\Software\Search Settings
Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
Clé supprimée: HKLM\Software\Classes\Installer\Products\B8CF0B8BB96E5124FAA1B4FD2FD097B4
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\B8CF0B8BB96E5124FAA1B4FD2FD097B4
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [6.0 (fr)] ****

Plugins\ieatgpc.dll (Cisco WebEx LLC)
Plugins\npatgpc.dll (Cisco WebEx LLC)
Plugins\npDivxPlayerPlugin.dll (DivX, Inc)
HKCU_MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0 (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Documents and Settings\Jean-Baptiste\Application Data\Mozilla\FireFox\Profiles\y52g3nml.default --
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Jean-Baptiste\\Bureau
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
Prefs.js - browser.startup.homepage_override.buildID, 20110811165603
Prefs.js - browser.startup.homepage_override.mstone, rv:6.0

========================================

**** Internet Explorer Version [6.0.2900.5512] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 24 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 22/08/2011 22:24:22 (4022 Octet(s))
C:\Ad-Report-SCAN[1].txt - 22/08/2011 22:02:18 (5877 Octet(s))

Fin à: 22:26:27, 22/08/2011

============== E.O.F ==============
0
Réponse 3 / 4
JB
23 août 2011 à 15:56
Re,
Impossible d'installer COMBOFIX.
L'installation se lance puis la fenêtre disparaît. En voulant relancer l'installation de COMBOFIX, un message apparaît:
"Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément."
...

Help...
0
Réponse 4 / 4
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
23 août 2011 à 17:20
Salut,

Fais un clic droit sur ce lien, enregistre le dans ton bureau sous le nom Titti.exe ensuite tu exécute le fichier téléchargé en suivant les instructions déjà indiquées!
0

Discussions similaires

Problème avec Gomeo
charlot -
Utilisateur anonyme -

17 réponses
Problème avec Goméo
D.F. -
D.F. -

6 réponses
Goméo (comme beaucoup)
adoubeur -
jacques.gache -

1 réponse
Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
le pb sue goméo persiste
raphy -
Smart91 -

1 réponse