Infecté par Gomeo et/ou autre ?

Bonjour à tous!

Je pense très certainement être infectée car j'ai remarqué des choses étranges sur mon PC:
-Internet Explorer bloqué uniquement par ZoneAlarm
-Internet explorer anormalement lent
-redirection vers une page "gomeo" lors d'une recherche google
-apparition d'une fenêtre de type Generic Host Process a rencontrer un problème et doit fermer etc.

J'ai scanné la machine avec mon antivirus actuel, Avira antivir, qui ne m'ar rien trouvé, idem pour Malwarebytes. J'ai vérifié le log donné par Hijackthis mais rien de suspect à première vue, c'est pourquoi je m'en remets à vous.


Ci-joint les é fichiers de RSIT:
http://www.mediafire.com/file/zn6oy2hzu8rqk38/info.txt
http://www.mediafire.com/file/ui2jz2nkrnvmtfh/log.txt

Bonjour,

1/ As-tu récemment formaté et ré-installé ton pc ?
2/ Télécharge Ad Remover d'El Desaparecido , C_XX & Chimay8 sur ton Bureau.

- Double-clique sur l'outil pour l'exécuter (Sous Vista ou windows 7, il faut faire un clic droit et l'exécuter en tant qu'administrateur),
- Lance la recherche et édite le rapport généré par l'outil dans ta prochaine réponse.

Fill

Oui en effet, la ré-installation est très fraîche suite à l'achat de nouveau matériel.

Ci-dessous le rapport donné:

======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 22/12/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 14:42:45 le 29/12/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Jenni@JENNI_XP ( )

============== RECHERCHE ==============


Dossier trouvé: C:\Documents and Settings\Jenni\Local Settings\Application Data\Conduit
Dossier trouvé: C:\Program Files\Conduit

Clé trouvée: HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2645238
Clé trouvée: HKLM\Software\Conduit
Clé trouvée: HKCU\Software\Conduit


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://fr.my.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 29/12/2010 (567 Octet(s))

Fin à: 14:43:23, 29/12/2010

============== E.O.F ==============

Re,

Je vois que tu as installé et utilisé Emule sur ta machine. Si tu veux garder un pc fonctionnel le plus longtemps possible, je t'invite à désinstaller ce logiciel qui est en sécurité informatique ce que la vodka est en sécurité routière

- Double-clique sur Ad Remover pour exécuter l'outil (ou clic droit>Exécuter en tant qu'administrateur sous Vista et windows 7),
- Lance le nettoyage et édite le rapport généré par l'outil dans ta prochaine réponse.

Fill

Au risque de paraître difficile, que va m'apporter le nettoyage?

Je veux dire, que compte-il nettoyé exactement?
J'avoue ne pas forcément déchiffrer toute la signification du scan et aimerait donc bien savoir ce qu'il compte supprimer exactement: le contenu de la partie recherche ?
Est-ce que tout ce qu'il a trouvé dans le rapport est infecté?

Je ne doute pas de l'éfficacité de ce logiciel ou de son bienfait mais je serais curieuse de comprendre et de voir, un peu à la manière de CCleaner, ce qu'il compte supprimer avant de le faire.

EDIT: Ayant trouvé la réponse à ma question, j'ai effectué le nettoyage dont voici le rapport:

======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 22/12/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:04:58 le 29/12/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Jenni@JENNI_XP ( )

============== ACTION(S) ==============


Dossier supprimé: C:\Documents and Settings\Jenni\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2645238
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKCU\Software\Conduit


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 5 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 29/12/2010 (616 Octet(s))
C:\Ad-Report-SCAN[1].txt - 29/12/2010 (1975 Octet(s))

Fin à: 15:27:08, 29/12/2010

============== E.O.F ==============

Re,

Peux-tu suivre les indications de ce tuto et éditer le rapport ?

Fill

Après avoir effectué une recherche rapide par Malwarebytes, aucun élément n'a été trouvé, comme lors de ma première recherche (cf.1er post).

Est-il nécéssaire de faire une recherche complète?

Bonjour,

Le rapport Hijackthis n'apparait pas, mais tous ses éléments sont visibles par ailleurs dans un rapport RSIT.

Bonne journée

Fill

Re,

Une recherche complète est inutile et n'apporte généralement rien de plus. Par contre, tu dois reprendre une analyse rapide en mettant malwarebyte's à jour car on en est à la version 5416 des signatures.

Peux-tu ensuite suivre ces indications et fournir le rapport Eset ?

Fill

Ci-dessous le rapport HiJackThis manquant par ailleurs, étant ici pour demander de l'aide, je me vois mal refuser l'aide de la seule personne qui me l'a proposé jusqu'ici.

Mais si Winx veut bien se pencher sur mon problème et me proposer une solution, je suis toute ouïe.

Je n'ai pas effectué le scann en ligne ayant coupé volontairement la connnexion internet pour "limiter" le problème. (je dispose d'un portable pour répondre ici). Aussi, j'ai fait la mise à jour de Malwarebytes hier et suis à la version 5409 (malgré ce qui est écrit dans le rapport).

Salut,

Les mises à jour sont en effet très fréquentes.
Si tu préfères que Winx prenne ton sujet en charge, je n'y vois aucun inconvénient.
Mon arrivée récente et mon faible nombre de messages font qu'il est peut-être normal que tu sois un peu frileux, mais si cela peux te rassurer, je suis actif sur un autre forum depuis presque 5 ans.

Fill

hello,


bonjour à tous,


petite mise au point

Je reste toujours avec un œil sur les topics en cours et je rassure tout le monde, jusque maintenant tout va bien et Fill est là pour me donner un coup de main en toute confiance, il est vrai que son manque de messages sur notre Forum peut en surprendre plus d'un...
Mais pas de stress, je sais d'où il vient

Ceci étant préciser,

Darc, as tu encore des dysfonctionnements, ton rapport Hijackthis ne semble plus contenir de gros problèmes en tous cas...?

Mise à jour de Malwarebytes à la version 5417 effectuée.

Lors de la recherche rapide, une fenêtre comme quoi il avait "rencontré une erreur" et devait fermer est apparût. Est-ce dû au fait que je n'ai pas redémarrer le PC?
Après 2 autres tentatives ayant fonctionnées sans problèmes, aucun élément n'a été trouvé.

-----
Pour répondre à Winx, je viens d'essayer de lancer Internet Explorer et ZoneAlarm persiste à me le bloquer mais seulement après la 3ème ou 4ème fois.
Je viens de remarquer que lorsque je lance IE en coupant ZoneAlarm, (pas de bloquage forçément) le petit indice "site check" sur la barre d'outils de ZA qui vérifie (normalement) si les sites sont sûr ne semble plus fonctionner. Peut-il y avoir quelque chose qui rentre en conflit autre que Virus, malware etc?

Pour l'instant, pas de problèmes vis-à-vis des recherches effectuées via Google.

En revanche, lors d'un autre scann effectué avec AD-remover, il me trouve seule clé nommée "HKCU\Software\Conduit"

re,

fais un scan en ligne avec Eset online
rends toi sur ce lien
clic sur ce bouton:

poste moi le rapport généré en fin de scan.


ceci dit je considère un peu ZA comme une usine à gaz....
Je lui préfère Ashampoo Firewall et comme tu es sous Windows XP SP3, pas de souci....

Scan effectué. Il ne m'a rien trouvé si ce n'est 2 "menaces" qui, je pense, ne sont pas dûes à l'origine de mon problème.

-----------------------------
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6419
# api_version=3.0.2
# EOSSerial=2591d1a74db2c1489320aa6edd5e61b9
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-12-29 06:27:32
# local_time=2010-12-29 07:27:32 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 31804 31804 0 0
# compatibility_mode=1797 16775125 100 93 122150 27812330 114922 0
# compatibility_mode=8192 67108863 100 0 3697 3697 0 0
# compatibility_mode=9217 16777214 75 70 117148 3725234 0 0
# scanned=80506
# found=2
# cleaned=0
# scan_time=1259
E:\Logiciels PC\Antivir\Anti-fucking\zlsSetup_70_483_000_en.exe une variante de Win32/AdInstaller application (impossible de nettoyer) 00000000000000000000000000000000 I
E:\Logiciels PC\Autres\Nero 7.10\Nero-7.10.1.0_eng_full.exe Win32/Toolbar.AskSBar application (impossible de nettoyer) 00000000000000000000000000000000 I