Bonjour

Mon ordinateur semble être infecté de Gomeo et SweetIM
Cela bloque Firefox, redirige les pages + pop-ups, etc

Voici le rapport d'Ad-Remover

Merci
MJ653

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 15:24:18 le 10/08/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium (X64)
Basile@BASILE-PC (System manufacturer P5Q-E)

============== RECHERCHE ==============




Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [5.0.1 (fr)] ****

Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Users\Basile\AppData\Roaming\Mozilla\FireFox\Profiles\o051oxw8.default --
Extensions\smartbookmarksbar@remy.juteau (Smart Bookmarks Bar)
Prefs.js - browser.startup.homepage_override.buildID, 20110707182747
Prefs.js - browser.startup.homepage_override.mstone, rv:5.0.1
Prefs.js - keyword.URL, hxxp://search.sweetim.com/search.asp?src=2&q=
Prefs.js - sweetim.toolbar.previous.keyword.URL,

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 0 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 10/08/2011 15:24:25 (2192 Octet(s))

Fin à: 15:26:01, 10/08/2011

============== E.O.F ==============

Bonjour MJ653


Il y avait longtemps qu'on ne t'avait pas vu

• Clique ici pour télécharger OTL (de Old Timer) sur ton bureau
  
• Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
  
• Coche Recherche Lop et Recherche Purity
  
• Sous Personnalisation (en bas), copie/colle ceci
  
  netsvcs
  msconfig
  %SYSTEMDRIVE%\*.*
  %PROGRAMFILES%\*.*
  %PROGRAMFILES%\*.
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  /md5start
  explorer.exe
  winlogon.exe
  Userinit.exe
  svchost.exe
  /md5stop
  hklm\software\clients\startmenuinternet|command /rs
  hklm\software\clients\startmenuinternet|command /64 /rs
  %systemroot%\*. /mp /s
  CREATERESTOREPOINT
  
  
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  
  
  
  • A la fin du scan, deux rapports s'ouvriront (OTL.Txt et Extras.Txt).
  
  PS : Les rapports sont aussi enregistrés sur le bureau

J'aimerais que tu héberges chacun des rapports sur cjoint : http://www.bibou0007.com/t4874-hebergez-vos-rapports-sur-cjoint
et que tu me communiques les liens vers chacun des rapports

Bonjour et mes excuses, j'étais absente ce week-end
Par ailleurs, je ne sais trop comment le pb a l'air d'avoir disparu mais je préfèrerais vérifier que tout est bien nettoyé...

Voici les rapports demandés

OTL
http://cjoint.com/11au/AHppF5mCNl0.htm

Extras
http://cjoint.com/11au/AHppGJv6cxr.htm

Merci

Bonjour MJ653
Pas de souci.


Je vois que tu as utilisé ZHPDiag, Combofix et Ad-remover. Tu es aidée sur un autre forum ou tu as essayé de nettoyer toute seule ?

Oui j'avais essayé de nettoyer toute seule avant parce que j'arrivais plus à me connecter sur Bibou... :-/

Il fait quel temps sur Paris ? (causette le temps que j'analyse le rapport OTL )

Grand soleil (ouais, on se demande ce que je fais devant le pc...)

Je pourrais voir ce rapport s'il te plait C:\ComboFix.txt

C'est pas parce qu'il y a un grand soleil qu'on est obligé de sortir, c'est pas mal de rester de temps en temps à la maison, histoire de se poser un coup.

Et voici
http://cjoint.com/11au/AHprzciFx4t.htm

Re


Et bien tu avais un gros vilain.

Clique ici pour télécharger aswMBR.exe et sauvegarde-le sur ton bureau et pas ailleurs!

• Double-clique sur aswMBR.exe situé sur ton Bureau pour le lancer.
  (Sous Vista/Seven, effectue un clic droit sur aswMBR et choisis Exécuter en tant qu'administrateur)
  
  
• Refuse la demande de mise à jour.
  
• Clique sur le bouton Scan.
  
  
  
• Patiente quelques minutes, puis dès que c'est fini, clique sur Save Log, et enregistre le rapport sur le bureau. Ferme aswMBR et copie/colle le contenu du rapport dans ta prochaine réponse s'il te plait.
  

Clique ici pour télécharger MalwareByte's Anti-Malware sur ton bureau.

• Installe le programme
  
• Lance-le et mets à jour la base de définition en allant dans l'onglet "mise à jour" puis "Recherche de mise à jour".
  
• Choisis "Exécuter un examen rapide" puis Rechercher
  
• Laisse l'analyse se faire (cela peut durer longtemps).
  
  Une fois le scan terminé, clique sur "Afficher les résultats", vérifie que les éléments trouvés soient cochés puis sur Supprimer la sélection" en bas.
  
  
• Un redémarrage peut être nécessaire.

Un rapport va s'afficher, enregistre-le sur ton bureau. Sinon, après le démarrage, il se trouvera dans l'onglet Rapports/logs de Malwarebyte[/list]
Poste le rapport svp

Une aide à l'utilisation ici

voici déjà le rapport

aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-15 18:25:06
-----------------------------
18:25:06.212 OS Version: Windows x64 6.1.7600
18:25:06.212 Number of processors: 2 586 0x170A
18:25:06.213 ComputerName: BASILE-PC UserName: Basile
18:25:08.332 Initialize success
18:25:25.165 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-6
18:25:25.167 Disk 0 Vendor: SAMSUNG_HD103UJ 1AA01113 Size: 953869MB BusType: 11
18:25:27.176 Disk 0 MBR read successfully
18:25:27.178 Disk 0 MBR scan
18:25:27.181 Disk 0 Windows 7 default MBR code
18:25:27.183 Service scanning
18:25:29.225 Modules scanning
18:25:29.228 Disk 0 trace - called modules:
18:25:29.257 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys
18:25:29.261 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800496e280]
18:25:29.265 3 CLASSPNP.SYS[fffff8800187443f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP4T0L0-6[0xfffffa800442a680]
18:25:29.268 Scan finished successfully
18:26:13.712 Disk 0 MBR has been saved successfully to "C:\Users\Basile\Desktop\MBR.dat"
18:26:13.712 The log file has been saved successfully to "C:\Users\Basile\Desktop\aswMBR.txt"

on dirait que malware ne trouve rien...

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7470

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

15/08/2011 18:30:42
mbam-log-2011-08-15 (18-30-42).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 184587
Temps écoulé: 1 minute(s), 42 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Re, ça m'a l'air pas mal.


Clique ici pour télécharger TFC (de Old Timer) sur le bureau

• Ferme toutes tes fenêtres
  
• Double clique sur TFC.exe pour le lancer
  
• Clique sur le bouton Start et patiente quelques instants.
  
• Une fois le nettoyage terminé, ton pc va redémarrer. S'il ne le fait pas, redémarre le toi même pour terminer le nettoyage

Ensuite :

Effectue ce scan en ligne s'il te plait, puis poste le rapport s'il te plait :
http://www.bibou0007.com/t3691-tutorial-eset-online-scanner

Et voilà
C:\Users\Basile\Downloads\VideoConverterSetup.exe une variante de Win32/InstallCore.A application nettoyé par suppression - mis en quarantaine

Et Avira trouve tjs des éléments suspects
http://cjoint.com/11au/AHqmRMYsqqS.htm

Ils sont en quarantaine
Je les supprime?

Bonjour MJ653

Ça m'a l'air pas mal, tu as d'autres soucis ?
Tu peux vider ta quarantaine.

Bonjour MJ653

Toujours avec nous ?

Sujet fermé en raison de l'inactivité. Si vous souhaitez réouvrir ce sujet, faites en la demande par Messagerie Privée en précisant la raison et le lien vers ce sujet.
Ceci ne s'applique qu'à MJ653.
Pour les autres, créez votre propre sujet svp.