Probleme GOMEOFermé

Question

Bonjour, 

Comme d'autres utilisateurs je pense avoir ete infecte par un virus qui a chaque fois que j'ouvre mon navigateur internet me redirige directemet et automatiquement sur Gomeo.fr.
Je ne peux donc ouvrir aucune page internet puisque ceci se fait a chaque fois que je lance mon navigateur. J'ai beau taper d'autres adresses il revient toujours sur gomeo.
J'ai Avast comme antivirus, que j'ai mis a jour et qui apres un scan n'a rien trouve.
N'etant pas une pro, je ne sais que faire d'autre.

J'utilise Mozilla comme navigateur et je suis Windows Vista.

Quelqu'un pourrait m'aider?

D'avance merci,
LALE

buginformatik · Answer

Salut,


Voyons si MBAM peut se débarasser de ça :

http://www.oxygenepc.com/forum/tuto-malwarebytes-anti-malware-mbam-t359.html

Installe le, Mets le à jour, et fais un scan complet de C: (et D: si tu as) 

Tu supprimes les éléments trouvés, et colle moi le rapport qui s'ouvrira à la fin du scan.

lale · Answer

Salut buginformatik,

Merci pour ta reponse.

Bon j'ai fait ce que tu m'as dit, sauf que dans les elements infectes trouves il y avait un HKEY... j'ai pas voulu le supprimer car ca me semblait important, voire etonnant, limite dangereux et pas tres intelligent de supprimer sans te demander avant. D'autant que forcement ces cles ne sont ni dans le C: ni dans le D:.
Du coup j'ai juste fait le scan, rien supprime avant de savoir si je peux vraiment supprimer la partie HKEY.

Ci-dessous le rapport,, qu'est ce que t'en penses? est ce que je supprimes vraiment tout??

Merci,
LALE

alwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4517

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

01/09/2010 00:55:06
mbam-log-2010-09-01 (00-55-06).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 321703
Temps écoulé: 1 heure(s), 25 minute(s), 47 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.fsharproj (Trojan.BHO) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rthdbpl (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Users\fnac\AppData\Roaming\SystemProc (Trojan.Agent) -> No action taken.

Fichier(s) infecté(s):
C:\Users\fnac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OAPAMPMT\app-messenger-fr[1].exe (Trojan.SMSScam) -> No action taken.
C:\Users\fnac\AppData\Local\Temp\wzd146\keygen.exe (RiskWare.Tool.CK) -> No action taken.
C:\Users\fnac\AppData\Roaming\SystemProc\upd.exe (Trojan.Agent) -> No action taken.
C:\captura.bmp (Malware.Traces) -> No action taken.
C:\codigo1.bmp (Malware.Traces) -> No action taken.
C:\codigo2.bmp (Malware.Traces) -> No action taken.
C:\codigo3.bmp (Malware.Traces) -> No action taken.
C:\codigo4.bmp (Malware.Traces) -> No action taken.
C:\error.bmp (Malware.Traces) -> No action taken.

buginformatik · Answer

Bonne idée de ta part ! 
Je vois en effet les lignes : 
C:\Users\fnac\AppData\Roaming\SystemProc\upd.exe
C:\Users\fnac\AppData\Local\Temp\wzd146\keygen.exe
C:\Users\fnac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OAPAMPMT\app-messenger-fr[1].exe

Tu télécharge sur fnac.com ??

En outre, tu refais un scan supprimes toutes les autres lignes ;)

Les lignes HKEY_CURRENT_USER correspodent à la base de registre, qui "contient les données de configuration du système d'exploitation et des autres logiciels installés désirant s'en servir", donc notamment ton infection.

lale · Answer

Bah ecoute non, je ne telecharges pas sur Fnac.com... c'est vraiment etonnant tout ca, j'ai JAMAIS rien telecharge sur la FNAC... Est ce que du coup je peux supprimer? 
Qu'est ce que tu penses que ca veut dire que j'ai des trucs infectes sur des choses telechargees, alors que je n'ai rien telecharge? C'est vraiment etrange!

Bon en attendant ta reponse, je vais refaire un scan, supprimer tout SAUF les trois lignes fnac et on verra :-)

Merci!
LALE

H3RV3 · Answer

Salut,

fnac correspond au nom de ta session Windows (peut être le PC vient-il de la Fnac ou alors tu as choisis ce nom lors de la création de ta session).

Par contre, apparemment tu télécharges des keygens et cracks.
A lire ==> le danger des cracks

lale · Answer

Hello H3RV3,

YES, j'ai effectivement achete mon PC a la FNAC... ce qui peut expliquer cela :-)
J'ai meme du l'emmener au service apres vente chez eux en debut d'annee, car un jour mon PC a chauffe grave, pouf ecran noir total et la, impossible de le rallumer derriere... comme il etait encore sous garantie, je l'ai emmene au service apres vente de la FNAC (grave erreure??) qui m'a dit, apres moultes manipulations, que c'etait juste mon disque dur qui etait mort et que donc ils l'avaient remplace et tt reinstalle...
Est ce que ceci explique cela?
Par contre, je ne telecharge pas de keygens ou cracks, je ne sais pas trop ce que sait, ou alors sans rellement le savoir ou m'en rendre compte... tu sais souvent en utilisant des logiciels, internet ou autre, il faut installer pleins de trucs... j'en sais rien! a vrai dire... je sais pas...

En tous cas merci de votre aide a tous les deux :-)
LALE

adelhom · Answer

Bonjour, alors si par exemple c'est ton navigateur Mozilla Firefox qui est atteint => 
Tu vas dans l'éditeur du Registre ( tu tape regedit dans executer ) donc ensuite
HKEY_LOCAL_MACHINE/SOFTWARE/Mozilla Firefox
Vous supprimez tous les fichiers avec le noms Mozilla Firefox. 

Pour Internet Explorer, Safari, ou bien Google Chrome, vous supprimez les répertoires ( avant de supprimer les répertoires, désinstallez les navigateurs ).

Ensuite, réinstallez votre navigateur, le problème est réglé, Ciao Gomeo.

H3RV3 · Answer

Cela ne résoudra malheureusement pas les redirections.

lale, si tu le souhaites, on peut analyser ton PC. Fais ceci :

&#9679; Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

&#9679; Sous XP : Double clique sur ZHPDiag_silent.exe
&#9679; Sous Vista/7 : Fais un clic droit sur ZHPDiag_silent.exe et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Patiente pendant le scan. Un rapport s'ouvrira à la fin.

&#9679; Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

Note :
    Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.

lale · Answer

Salut a tous,

Encore merci a tous pour votre aide et commentaires.

Bon alors, première étape j'ai refait un scan et supprime toutes les lignes sauf celles indiquant FNAC. 

Ci-dessous le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4517

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

07/09/2010 18:40:56
mbam-log-2010-09-07 (18-40-56).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 321703
Temps écoulé: 1 heure(s), 25 minute(s), 47 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.fsharproj (Trojan.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rthdbpl (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Users\fnac\AppData\Roaming\SystemProc (Trojan.Agent) -> Not selected for removal.

Fichier(s) infecté(s):
C:\Users\fnac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OAPAMPMT\app-messenger-fr[1].exe (Trojan.SMSScam) -> Not selected for removal.
C:\Users\fnac\AppData\Local\Temp\wzd146\keygen.exe (RiskWare.Tool.CK) -> Not selected for removal.
C:\Users\fnac\AppData\Roaming\SystemProc\upd.exe (Trojan.Agent) -> Not selected for removal.
C:\captura.bmp (Malware.Traces) -> Quarantined and deleted successfully.
C:\codigo1.bmp (Malware.Traces) -> Quarantined and deleted successfully.
C:\codigo2.bmp (Malware.Traces) -> Quarantined and deleted successfully.
C:\codigo3.bmp (Malware.Traces) -> Quarantined and deleted successfully.
C:\codigo4.bmp (Malware.Traces) -> Quarantined and deleted successfully.
C:\error.bmp (Malware.Traces) -> Quarantined and deleted successfully.

Ensuite, j'ai donc fait la manip ZHDPDiag, et j'ai donc logge le document sous le lien suivant: 
http://www.cijoint.fr/cjlink.php?file=cj201009/cijbpRDbaL.txt

Voila, par contre du coup j'ai pas désinstallé et réinstalle les navigateurs, je voulais d'abord voir ce que les différents scans/suppression donnaient...

Voila, qu'en pensez vous?

Merci,
LALE

H3RV3 · Answer

C'est un bon début :).

Fais maintenant ceci ==> https://forums.commentcamarche.net/forum/affich-18975036-probleme-gomeo#8

Probleme GOMEO

10 réponses

Discussions similaires

Newsletters