A mon tour, gomeo m'a contaminé

[invitef563b3c8]

bonjour,
Suite à une tentative détournée d'installation de logiciel de gestion de DD et partitions, j'ai (comme un bleu) téléchargé un fichier infecté.
Depuis 2 jours, j'ai régulièrement des fenêtre Gomeo qui s'ouvre en place et lieu de mes recherches Google. Des pop-ups IE s'ouvrait régulièrement alors que je ne m'en sers jamais (mon navigateur par défaut est Mozilla depuis des années)
J'ai commencé à fouiller le net et tenter de m'en débarrasser mais le problème existe encore.

Voici ce que j'ai fait :

Hier :
- scan de tous mes DD avec Avira Antivir (heuristique moyenne)

Aujourd'hui :
- Scan avec Glary Utilities (rien trouvé)
- Scan complet avec Malwarebytes' Anti-Malware qui lui a supprimé un certains nombres de spywares (donc Glary fut inutile...)
- un scan avec ZHP. Je peux fournir le résultat, je l'ai enregistré.

La suite des procédures demande l'utilisation de Combofix. Je n'ai pas les compétences pour m'en servir seul, j'ai donc besoin de l'aide de personnes compétentes. Je m'en remets à vous.

Je suis disponibles toute la journée aujourd'hui, le reste de la semaine, pas avant 12h30.

Je vous remercie d'avance pour vos avisés conseils.
-----

[JPL]

Applique cette procédure qui est signalée en tête de ce forum dans les messages importants : http://www.futura-sciences.com/fr/do...701/c3/221/p1/

[invitef563b3c8]

Alors j'ai suivi la procédure jusqu'à l'upload des rapports...
Effectivement, j'ai mal procédé, j'aurai dut d'abord lire ce post (ce que je n'ai pas fait, et je m'en excuse).

Vous allez comprendre :
Voici ce que je vois :

Image supprimée

Voici ce que je devrai voir :

Image supprimée

Bref, je ne peux uploader mes fichiers par les options de gestion de fichiers attachés... Etant simple utilisateur, je ne peux pas non plus éditer mon post...

Devons nous clore ce topic pour que j'en créé un nouveau tout beau tout propre ?

[JPL]

J'ai supprimé les images car nous n'acceptons pas d'image sur des serveurs externes. Je suggère de vider le cache du navigateur et de créer une nouvelle réponse à cette discussion. Ou encore de créer une réponse vide, recharger la page avec Ctrl-F5. Normalement tu devrais alors pouvoir accéder à la gestion des pièces jointes.

[A voir en vidéo sur Futura]

[invitef563b3c8]

Parfait.

Donc voici les fichiers obtenus grâce à RSIT.

[invite42302d4e]

Bonsoir et bienvenue sur Futura-Sciences

Fais dans cela l'ordre stp...

Télécharge TDSSKiller (Kapersky Lab) sur ton bureau en allant sur cette page web
http://support.kaspersky.com/fr/faq/?qid=208280685
Dezzipe le et fais un double-clic dessus pour l'exécuter et si une détection apparait après le scanne,suis les instructions et autorise le redémarrage du pc
/!\ ne change pas l'action proposé par TDSSKiller en fin de scanne (skip, quarantine, cure ) /!\
Poste le rapport "C:\TDSSKiller_Quarantine\DATE _HEURE"

ensuite....

télécharge Malwarebytes' Anti-Malware
Installe-le et fais un scanne Complet, coche tout ce qu'il trouvera puis clique sur "Supprimer la sélection"
puis poste le rapport généré en fin de suppression.

Ensuite...

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.

* Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

NetSvcs
%systemroot%\system32\drivers\ *.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).
* Poste les rapports dans ta réponse stp...
* Comment poster les rapports sur le forum
* Au cas où, tu peux les retrouver dans le dossier C:\OTL

[invitef563b3c8]

J'ai mené à bien les différentes étapes listées ci-dessus.
Le scan de Malwarebytes' Anti-Malware n'a rien donné, j'en avais déjà effectué un il y a 2 jours. Je t'inclue le rapport pour le cas où tu souhaiterais le consulter.


En n'espérant n'avoir rien oublié et merci de prendre du temps pour m'aider.

[invite42302d4e]

yop,

pas grand chose là dedans à part une tache planifiée infectieuse...

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

Code:

:Files
C:\Windows\Tasks\gkrajoc.job      

:Commands
[emptytemp] 
[EMPTYFLASH]

* Cliques sur l'icône"Correction" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport va s'ouvrir "OTL.Txt"
* Copie et colle le rapports dans ta réponse stp...
* Au cas où, tu peux le retrouver dans le dossier C:\OTL

ensuite...

Désactive temporairement ton Anti-virus pour ce scanne

• Télécharge Combofix sur ton Bureau (et pas ailleurs)
• Clic-droit dessus et choisis "Exécuter en tant qu'administrateur" pour le lancer et suis les instructions.
• Patiente le temps du scanne( ça peut prendre facilement 30/45 minutes )

N'arrête surtout pas le scanne et ne te sert pas du PC durant le scanne

• A la fin du scanne, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
• redémarre impérativement ton PC une nouvelle fois

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@++

[invitef563b3c8]

J'ai l'impression d'avoir oublié quelque chose tellement c'est allé vite...
Pour Combofix, il m'a dit qu'Antivir était toujours activé... J'ai pourtant cliqué droit sur l'icône en barre de tâches et décocher "Activer Antivir Guard". Le parapluie était bien fermé. Le test étant fini, j'ai recoché la case et le parapluie s'est bien rouvert.

Voici les logs du jour :

[invite42302d4e]

hello,

la tache planifiée à bien sauté.
il y avait un sacré volume de fichiers temporaire.

fais cela stp....

Déactive impérativement Antivir avant de faire la suite stp...

Télécharge Gmer. (Przemyslaw Gmerek)

• Dézippe-le dans un dossier dédié ou sur ton Bureau.
• Déconnecte toi d'Internet puis ferme tous les programmes.
• Double-clique sur Gmer.exe.
• Clique sur l'onglet Rootkit.
• A droite, coche seulement Files, Services & Registry.
• Clique maintenant sur Scan.
• Lorsque le scan est terminé, clique sur Copy.
• Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
• Le rapport doit alors apparaître.
• Enregistre le fichier sur ton Bureau et poste le contenu ici.

[invitef563b3c8]

Alors, tu me dis ceci :

"A droite, coche seulement Files, Services & Registry."

Dois-je donc décocher "ADS" qui n'est pas sur le même alignement ?
Dois-je sélectionner tous mes disques durs ou seulement mon disque système ?
Ai-je utilisé le bon outil pour uploader mon image cette fois-ci ?

[invite42302d4e]

yop,

tu peux laisser tel quel, ne change rien, c'est parfait pour le scan !

[invitef563b3c8]

Et voila :

[invite42302d4e]

bon, apriori pas de rootkit...

Télécharge >>> AD-Remover <<< ( de C_XX ) sur ton bureau.

- Double-clique sur le fichier AD-R.exe pour lancer le tool.

- Pour Vista /Seven faire un cliques droit sur l'icône et choisir "Exécuter en tant qu'administrateur"

- Cliques sur "Nettoyer".

- Ensuite laisse le scan s'effectuer tranquillement sans te servir du PC

- Poste le rapport.txt qui s'ouvre.

au cas ou,le rapport est sauvegarder ici
C:\AD-Report-scan+"date"

Si jamais tu dois relancer AD-R.exe tu devras te servir du raccourci créer durant son installation

============================== =============

ensuite, refais un scan OTL comme tu l'as fais la première fois et poste le rapport OTL.txt stp...

[invitef563b3c8]

Nettoyage puis scan (dans cet ordre, vraiment ?) avec AD-R effectués.
Scan avec OTL effectués.

Et hop :

[invite42302d4e]

hello,

Fais cela stp...

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

Code:

:OTL
IE - HKU\S-1-5-21-2887618310-2162818927-3354641890-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = fr      
IE - HKU\S-1-5-21-2887618310-2162818927-3354641890-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = D8 02 BB 33 CE E1 CB 01  [binary data]      
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O32 - AutoRun File - [2009/09/14 23:52:49 | 000,000,050 | R--- | M] () - G:\autorun.inf -- [ CDFS ]   

:Commands
[emptytemp] 
[EMPTYFLASH]

* Cliques sur l'icône "Correction" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport va s'ouvrir "OTL.Txt"
* Copie et colle le rapports dans ta réponse stp...
* Au cas où, tu peux le retrouver dans le dossier C:\OTL

ensuite dis moi si il y a du mieux

[invitef563b3c8]

Bon, alors plus de pop-up IE (c'est cool), mais encore des petits soucis sur mozilla.
Quand je lance un recherche google, le premier lien que j'ouvre (parfois plus) est dévié sur une autre page. De temps en temps, je tombe sur une page demandant un login facebook (que je n'utilise pas).

Voici le log :

[invite42302d4e]

hello,

hummm, ça pu l'hijack de serveur DNS

tu es connecter par une box, si oui laquelle (livebox/neufbox:freebox etc...)

fais cela stp...

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"
fais attention de bien tout sélectionner

Code:

nslookup www.google.fr /c
type "C:\Users\Ricdan\AppData\Roaming\mozilla\Firefox\Profiles\qn9cu9uh.default\prefs.js" /c

* Cliques sur le bouton "Aucuns" (en dessous de "analyse rapide"
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scanne un rapport va s'ouvrir "OTL.Txt"
* Poste le rapport dans ta réponse stp...
* Comment poster les rapports sur le forum
* Au cas où, tu peux le retrouver dans le dossier C:\OTL

[invitef563b3c8]

La box est une freebox revolution, installée depuis environ 3 semaines.
Le wifi est protégé en WPA2 avec un MdP contenant majuscules et caractères spéciaux.

Voici le fichier du jour :

[invite42302d4e]

re,

rien là dedans, toutes les IP des requettes DNS sont bonnes

essais cela stp...

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"
fais attention de bien tout sélectionner

Code:

ipconfig /flushdns /c

* Cliques sur le bouton "Aucuns" (en dessous de "analyse rapide"
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scanne un rapport va s'ouvrir "OTL.Txt"
* Poste le rapport dans ta réponse stp...

[invitef563b3c8]

toujours mes problèmes de redirection indésirées lorsque j'utilise google...

[invite42302d4e]

peux-tu faire un petit test...
1.sélectionne un autre moteur de recherche dans ta barre d'outil (par exemple yahoo,bing etc...)
2.fais une recherche quelconque et regarde si tu es aussi redirigé en cliquant sur le premier lien de la recherche.

@++

[invitef563b3c8]

J'ai essayé plusieurs recherches à l'aide de Yahoo, mais aucune ne m'a fait ce genre de soucis. Seul les recherches à l'aide de google sont concernées.

[invite42302d4e]

hello,

une petite précision stp...

la redirection s'effectue lorsque tu utilise:
-le moteur google qui est en haut à droite (dans la barre d'outils) ?
-lorsque tu tapes la recherche dans la zone de saisie au centre de ta page d’accueil "google" ?

ou bien cela se produit en utilisant ces deux méthodes ?

Idem, si tu fais la même recherche "google" avec internet explorer, est ce que tu as le même souci ?

[invitef563b3c8]

La redirection a lieu dans les 2 cas.
Sous IE, pareil, elle a lieu dans les 2 cas. J'ai d'ailleurs essayé bing (dans la barre de moteur de recherche d'IE) et j'ai eu aussi droit à des redirections...

[invitef563b3c8]

Désolé pour le double post, j'ai un autre symptôme, peur être lié :
Je suis sous Seven.
Dans la barre de tâche, l'icône du centre de maintenance (juste à gauche de l'horloge m'affiche une petite croix. Si je clique dessus, il me propose d'activer le service "Centre de Sécurité Windows". Je clique dessus et j'ai droit à un message d'erreur : Impossible de démarrer le service Centre de Sécurité Windows.
Pas plus d'informations...

[invite42302d4e]

Bonsoir,

vérifie cela stp....

Cliques sur "Démarrer", "tous les programmes", "accessoire", "exécuter" Dans le fenêtre qui s'ouvre tapes ncpa.cpl, puis cliques sur "Ok"

Dans le fenêtre qui s'ouvre fais un clic-droit sur la carte réseau que tu utilises et choisis "Propriétés"

cliques une fois sur "internet protocole version 4" et clique sur "Propriétés"

vérifies que l'option "obtenir les adresses des serveurs DNS automatiquement" soit cochée

Dit moi si le réglage était différent de celui que je t'ai indiqué...

ensuite poste un nouveau rapport OTL comme tu l'as fais la première fois stp..

Si jamais tu as un autre pc de dispo chez toi, dis moi si celui ci est aussi victime des détournement stp...

@++

@++

[invitef563b3c8]

de retour :
alors "obtenir les adresses des serveurs DNS automatiquement" est bien cochée.

J'ai essayé sur un laptop connecté en wifi, aucune souci de détournement...

Voici le rapport OTL demandé :

[invite42302d4e]

hello,

ok, si les paramêtre de ton routeur étaient modifiés, tu aurais aussi le souci avec le laptop..

il y a encore un truc qui cloche alors...

peux-tu faire cela stp...

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

Code:

%SYSTEMDRIVE%\ntfs.* /s /md5

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scanne aller à son terme sans te servir du PC
* poste le rapport "OTL.Txt"

[invitef563b3c8]

voici donc le rapport de ce soir :