Gomeo, encore et toujours !

Bonjour,

J'ai été infectée par un virus redirigeant toutes mes requêtes Google vers le site Gomeo.fr. Sans surfer sur des sites à contenu critique, en plus...sûrement une pub flash qui m'a échappé, bref.

Voici les logs de RSIT :

Log.txt : http://www.cijoint.fr/cjlink.php?file=cj201012/cijnQoWysn.txt
Info.txt : http://www.cijoint.fr/cjlink.php?file=cj201012/cijLeMQuSy.txt

Et aussi un log ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201012/cijw3EUCiv.txt

C'est en voyant le log ZHPDiag que j'ai découvert que cette cochonnerie s'était bien enracinée, là où je n'ai pas envie d'aller sans aide. Merci aux helpeurs qui voudront bien se pencher sur mon cas

PS : je n'ai rien tenté comme nettoyage maison entre-temps.

hello,

Exécute cette manip pour faire un scan avec Combofix.développé par sUBs.
En portant une attention particulière à l'install de la console sous XP, ( pas sous Vista * ) à la demande de sUBs. , concepteur de l'outil utilisé.
Mais avant ne télécharge pas Combofixe.exe avec son vrai nom, change le d'office avant ton téléchargement, renommes-le en scanner.exe

-->clic ici pour faire la manip demandée
Poste le rapport de C:\Combofix.txt. sur le forum.
Normalement la procédure installation est devenue automatique...il suffit d'accepter par "oui" à la demande de Combofix.....
En cas de souci avec l'install de la console sous XP uniquement, pas sous Vista .
Regarde ici le post de @Synthexe:

Merci à toi !

Voici le log Combofix : http://www.cijoint.fr/cjlink.php?file=cj201012/cijNDtJjgL.txt


ComboFix 10-12-02.05 - Administrateur 03/12/2010 13:46:14.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.495 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\Scanner.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\documents and settings\Administrateur\Application Data\cleanmgr.dll


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\cleanmgr.exe
c:\program files\INSTALL.LOG

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-11-03 au 2010-12-03 ))))))))))))))))))))))))))))))))))))
.

2010-12-03 09:39 . 2010-12-03 09:39 -------- d-----w- C:\rsit
2010-12-03 09:39 . 2010-12-03 09:39 -------- d-----w- c:\program files\trend micro
2010-12-02 08:58 . 2010-12-02 08:59 -------- d-----w- c:\program files\ZHPDiag
2010-12-01 22:26 . 2010-11-17 14:59 12288 ----a-w- c:\documents and settings\Administrateur\Application Data\cleanmgr.dll.vir

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-14 08:00 . 2010-10-09 21:31 108032 ----a-w- c:\windows\system32\ff_vfw.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-04-01 1368064]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2005-06-24 278528]
"type32"="c:\program files\Microsoft IntelliType Pro\type32.exe" [2005-03-15 196608]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2001-09-28 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-09-14 157592]
"PDUiP6700DMon"="c:\program files\Canon\Memory Card Utility\iP6700D\PDUiP6700DMon.exe" [2006-10-03 75376]
"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-14 7323648]
"nwiz"="nwiz.exe" [2005-12-14 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-14 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
SpeedFan.lnk - c:\program files\SpeedFan\speedfan.exe [2005-2-18 2313728]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.exe.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-3 113664]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-22 734872]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
TabUserW.exe.lnk - c:\windows\system32\WTablet\TabUserW.exe [2005-3-4 77824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedAppl ications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/10/2006 16:30 611064]
R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [18/03/2009 19:08 1373480]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [02/03/2005 19:29 5824]
S3 HTCAND32;HTC Device Driver;c:\windows\system32\drivers\ANDROIDUSB.sys [22/07/2010 22:14 24576]
.
Contenu du dossier 'Tâches planifiées'

2008-09-10 c:\windows\Tasks\{3F3ED593-5F70-46DC-A5F8-F0081A8DB599}_KAMESAMA_Administrateur.job
- c:\windows\system32\mobsync.exe [2001-09-28 23:09]

2010-01-22 c:\windows\Tasks\{60AEDE3D-EB70-4985-A86A-34F175E9E49C}_KAMESAMA_Administrateur.job
- c:\windows\system32\mobsync.exe [2001-09-28 23:09]

2010-11-01 c:\windows\Tasks\{EAD853EF-78AB-4D53-B935-1E7AD0D20F74}_KAMESAMA_Administrateur.job
- c:\windows\system32\mobsync.exe [2001-09-28 23:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: Copy to Semagic - c:\program files\Semagic\copy.htm
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Semagic - c:\program files\Semagic\link.htm
TCP: {47756ABA-E0E5-4EFE-8890-264A187FAF16} = 212.27.54.252,212.27.53.252
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\1t7txc95.default\
FF - plugin: c:\program files\Java\jre1.5.0_02\bin\NPJPI150_02.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npoctoshape.dll
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Octoshape Streaming Services - c:\program files\Octoshape Streaming Services\Administrateur\OctoshapeClient.exe
HKLM-Run-cleanmgr - c:\documents and settings\Administrateur\Application Data\cleanmgr.exe
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9c.exe
AddRemove-_{05D60953-9012-44DF-A1A6-9DD97AD6580A} - d:\painterx\MSILauncher {05D60953-9012-44DF-A1A6-9DD97AD6580A}



**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1343024091-1364589140-839522115-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{83D2BC24-D830-F943-9DC9-43401B7ED698}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Heure de fin: 2010-12-03 13:51:50
ComboFix-quarantined-files.txt 2010-12-03 12:51

Avant-CF: 1 700 982 784 octets libres
Après-CF: 1 952 948 224 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

- - End Of File - - 4BC023BB033F8AB3B00BF7502D746632



J'ai eu une erreur d'écriture mémoire, mais qui n'a pas empêché les installations ni le scan. Combofix a signalé que le fichier cleanmgr.dll était infecté, et a effacé le fichier cleanmgr.exe .

re,
bien fais ceci:

Ensuite fais ceci:
Télécharge Malwarebytes' Anti-Malware (MBAM)

[*] Double clique sur le fichier téléchargé pour lancer le processus d'installation.
[*] Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
[*] Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
[*] Sélectionne "Exécuter un examen rapide"
[*] Clique sur "Rechercher"
[*] L'analyse démarre, le scan est relativement long, c'est normal.
[*] A la fin de l'analyse, un message s'affiche :


Citation

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.


Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
[*] Ferme tes navigateurs.
[*] Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
[*] MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

ps:
--->aide visuelle sur Mbam ici

Voilà qui est fait :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5248

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05/12/2010 16:45:42
mbam-log-2010-12-05 (16-45-42).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 150126
Temps écoulé: 1 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\administrateur\application data\cleanmgr.dll (Trojan.Agent) -> Quarantined and deleted successfully.

re,
bien comment se comporte le PC après cette manip ?

Je teste les requêtes Google, et apparmment il n'y a pas de redirections intempestives même sur plusieurs sessions (Firefox). Aucun autre problème à signaler.

Fais ceci:

Fais un scan de ta machine avec Spybot-S&D©®
Rends-toi sur ce lien et télécharge l'utilitaire.
Installe-le et fais la mise à jour.

Toutefois être prudent à l'install, si nécessaire décocher toute installation de Yahoo Toolbars ( et compagnie ,ça devient une manie dans les gratuits d'auto installer ces bestioles !)
De plus, n'accepte pas l'installation de "Teatimer" .

Si par hasard tu l'as accepter, ce n'est pas dramatique fais ceci:

1) Désactive le Teatimer de Spybot

[*]Ouvre Spybot
[*]Rends-toi dans le menu Mode
[*]Coche la case Mode Avancé
[*]Clique sur Outils (tout en bas)
[*]Dans Résident, tu décoches la case Resident Teatimer
-----> L'icône doit être absente de la barre des tâches...

Tutoriel animé :
-->source ici

(merci Balltrap34 !)

J'ai déjà Spybot S&D sur ma machine depuis un petit moment. Dois-je utiliser cette version après l'avoir au préalable remise à jour, ou la désinstaller totalement pour effectuer ta manoeuvre ?

re,
tu fais juste la mise à jour dans ce cas
et tu scannes ton PC avec.
Tu me diras s'il a trouvé des "bestioles " ( supprimes les évidemment dans ce cas... )

Bonjour !

Oui, il a trouvé un trojan : Win32.AutoRun.tmp

Win32.AutoRun.tmp: [SBI $751B1850] Réglages (Valeur du registre, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

re,
bien à ce point les soucis sont encore présents ?

Apparemment non. Rien ne prend la main lorsque je me sers de Google.

re,
en clair:
Sur Mozilla et IE

J'ai remarqué ceci:
c:\windows\system32\mobsync.exe
qui est demandé dans le task ( le task est si tu veux des actions que l'on peut commander au PC ) par un .job

{3F3ED593-5F70-46DC-A5F8-F0081A8DB599}_KAMESAMA_Administrateur.job

je voudrais savoir si c'est volontaire ?


De plus,

l'infection gomeo, est souvent associée à la douloureuse infection bamital
De ce fait je voudrais que tu fasses vérifier ces trois fichiers sur Virus total, et de me poster les trois rapports.

je te mets le mode d'emploi

Rends toi sur ce lien : Virus Total



* Clique sur Parcourir
* Recherche alors notre cible à faire analyser : ( un a la fois évidemment )

* Clique sur Send File (envoyer ) le fichier est uploader sur leur server.
* Si il est affiché ce message

* clic sur le bouton "Reanalyse"
ce message apparaîtra :

Ensuite la barre avancera, patiente jusqu'au message :

Sélectionne manuellement le texte de l'analyse et fais ctrl+c et recopie ici dans le Forum par un ctrl + v


tu auras un texte comme ceci sur le Forum, ce n'est pas grave je m'en sortirai...pour info une non contamination est affichée par ceci "-"

Pour commencer la réponse, non aux deux premières questions. Je n'ai plus de redirection ni d'usurpation.

Pour ta remarque suivante concernant IE, je ne sais pas. Je ne m'en sers pour ainsi dire quasiment jamais, il se lance parfois comme navigateur associé à certaines extensions mais pour l'usage courant, j'utilise Mozilla...je n'ai pas souvenir de l'avoir paramétré sur ce point en tout cas.

Pour l'analyse, je m'en occupe et je reviens poster tout ça ici.