Redirection de recherche + Just-In-Time Debug [Résolu/Fermé]

Signaler
-
 jonat -
Bonjour,

J'ai un problème depuis maintenant une semaine. Je recois des erreur "Just-In-Time Debugging" sans arrêt et quelques-une de mes recherches se font redirigés. J'ai scanné avec Malwarebyte et ComboFix, ils ont effacé ce qu'ils trouvaient mais ca ne semble pas s'être amélioré. Que dois-je faire?

Merci,

Jonat

38 réponses

Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
Bonjour pourrais tu poster les rapports MBAM et ComboFix?

Ce dernier fix n'est pas a utiliser sans demande expresse.


On va faire un diagnostic pour y voir plus clair:

* Télécharge ZHP: https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


@+
Merci juju666 de prendre le temps de me répondre.

Ca commence mal, je crois que ce "virus" m'empêche de publier des documents sur internet. J'ai le message:

La connexion a été réinitialisée

La connexion avec le serveur a été réinitialisée pendant le chargement de la page.


J'ai publié les documents ici:

http://w3.mutehq.net:8008/~jonat/mbam-log-2010-08-09%20%2816-08-21%29.txt
http://w3.mutehq.net:8008/~jonat/mbam-log-2010-08-09%20%2821-11-38%29.txt

http://w3.mutehq.net:8008/~jonat/ZHPDiag.Txt
http://w3.mutehq.net:8008/~jonat/ComboFix.txt

J'ai fais 2 scan avec MalwareByte... La raison est que j'ai dû arrêter le scan la première fois.
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
Il se peut simplement que cijoint soient surchargés.

Combo n'a rien supprimé de très méchant.... MBAM à lui délesté ta quarantaine pour la plupart des fichiers supprimés ^^

Désinstalle SnagIt Toolbar ==> tout à fait inutile.

Sais tu ce qu'est [TSClientMSIUninstaller] ? Si non, envoie le fichier %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs sur virustotal.com/fr

%systemroot% étant considéré le répertoire par défaut des fichiers de windows (en général C:\Windows)

Tu a un windows pirate???

C'est toi qui a installé tmi.telus.com?

Sans ces dernière infos, je ne fixe rien :)
J'ai essayé avec d'autre site du même style de cijoint et rien n'a fonctionné non plus.

Effectivement SnagIt je ne m'en suis jamais servi. Effacé!

TSClientMSIUninstaller est selon moi une application corporative qui est dans mon laptop (ce n'est pas mon ordinateur personnel)

Mon windows n'est certainement pas pirate.

tmi.telus.com c'est relatif à mon domaine (il s'agit d'un ordinateur de compagnie)
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
En effet tes pages sont détournées; on va régler ça ne t'inquiète pas ;)

Lance ZHPFix présent normalement sur ton bureau (si pas, retélécharge le)

Copie le texte suivant:

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe


Clique sur le "A" rouge (coller les lignes Helper)

Normalement tout ce qui commence par 017 devrait s'afficher (le logiciel prend ce qu'il se trouve dans ton presse papier)

Clique sur Ok, et poste le rapport qui s'affichera :)



EDIT: j'ai modifié mon script, j'espère que tu ne l'avais pas encore effectué, si oui, dis le tout de suite afin qu'on effectue une restauration du système.
Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 02/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-2010-08-10-11-46-08.txt
Run by T832525 at 2010-08-10 11:46:08
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CCS\Services\Tcpip\..\{642ECA64-3B78-4A53-B9F8-320D14BD2E2D}: DhcpNameServer = 142.168.100.48 142.168.100.49 => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEE48C75-902C-476A-B85B-AF8A37807899}: DhcpNameServer = 142.168.100.48 142.168.100.49 => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{642ECA64-3B78-4A53-B9F8-320D14BD2E2D}: DhcpNameServer = 142.168.100.48 142.168.100.49 => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{DEE48C75-902C-476A-B85B-AF8A37807899}: DhcpNameServer = 142.168.100.48 142.168.100.49 => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\..\{DEE48C75-902C-476A-B85B-AF8A37807899}: DhcpNameServer = 142.168.100.48 142.168.100.49 => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\..\{642ECA64-3B78-4A53-B9F8-320D14BD2E2D}: DhcpDomain = corp.ads => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEE48C75-902C-476A-B85B-AF8A37807899}: DhcpDomain = corp.ads => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{642ECA64-3B78-4A53-B9F8-320D14BD2E2D}: DhcpDomain = corp.ads => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{DEE48C75-902C-476A-B85B-AF8A37807899}: DhcpDomain = corp.ads => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\..\{DEE48C75-902C-476A-B85B-AF8A37807899}: DhcpDomain = corp.ads => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = corp.ads => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = tmi.telus.com,corporate,wireless.corp.ads,corp.ads => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 142.168.100.48 142.168.100.49 => Donnée supprimée avec succès


========== Récapitulatif ==========
13 : Elément(s) de donnée du Registre


End of the scan


Par contre j'ai un peu l'impression que tout cela avait des liens avec le domaine de mon ordinateur...
tmi.telus.com,corporate, wireless.corps.ads ... pour moi ces inscriptions ne sonnaientt pas malicieuses
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
J'ai été trop vite j'ai pas vérifié effectivement.

Fais ceci: Démarrer, Programmes, Accessoires, Outils système, Restauration du système, Restaurer mon ordinateur à une date antérieure

Clique sur le dernier point de restauration avant cette dernière manipulation.

Accepte. Ton pc va redémarrer.

Tuto: http://www.ac-nancy-metz.fr/services/monxp/restauration_syst%C3%A8me_xp.htm
Désolé, ce fût un peu long le redémarrage avec la restauration.

Je viens de réinstaller malwarebytes pour un nouveau scan car j'ai dû restaurer au 8 août.

J'ai aussi exécuté les lignes pour svchost

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 02/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-2010-08-10-12-37-38.txt
Run by T832525 at 2010-08-10 12:37:38
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente


========== Récapitulatif ==========
2 : Valeur(s) du Registre


End of the scan

Il semble que j'ai perdu une entrée. Le scan Malwarebyte risque de prendre un bon 4heures. Est-ce que vous voulez que je ré-exécute ZHPDiag tout de suite ou après Malwarebyte?
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
Bonsoir,

Et encore désolé pour cette procédure qui n'aurait pas eu lieu d'être si j'avais pris la peine de regarder plus attentivement....


Oui, après le scan malwarebytes' je veux bien un ZHP de contrôle. Voir si le proxi à bien été réinstallé.
Bon matin juju666,

J'ai resupprimé les fichiers trouvé par malwarebyte's et j'ai resupprimé les clés dans la base de registre.

Malheureusement ces clés reviennent à chaque démarrage.

J'ai refais un rapport avec ZHP.

http://w3.mutehq.net:8008/~jonat/ZHPDiag2.Txt
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
Avant de continuer, j'aimerai avoir STP le rapport de MBAM ;-)
Bonjour,

http://w3.mutehq.net:8008/~jonat/mbam-log-2010-08-10%20%2818-23-18%29.txt

Voici le dernier scan effectué avec MBAM.
Bonjour,

Voici le rapport MBAM

http://w3.mutehq.net:8008/~jonat/mbam-log-2010-08-10%20%2818-23-18%29.txt
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
Je vérifierai au soir car là pas le temps mais j'ai vu "en gros"

@+
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
Bonsoir,

Lance ZHPFix (pas ZHP Diag!!!)

Copie le texte en gras ci-dessous:
-----
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (@ieframe.dll,-12512) - https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

-----

Logiquement, celui ci devrait apparaître dans la fenêtre ZHPFix

Clique sur Ok

Poste le rapport généré par l'outil.

@+
En formation avancée chez Helper-Formation.
Pas de demande de support par MP !!! Le forum est fait pour ça. Merci de votre compréhension.
Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 02/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-2010-08-11-13-59-48.txt
Run by T832525 at 2010-08-11 13:59:48
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

========== Elément(s) de donnée du Registre ==========
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (@ieframe.dll,-12512) - https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8 => Donnée supprimée avec succès


========== Récapitulatif ==========
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre


End of the scan
Je viens de redémarrer

http://w3.mutehq.net:8008/~jonat/ZHPDiag3.Txt

Il m'aime je crois, il ne veut pas partir :)
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
Quelle belle histoire d'amour :D

Désolé, je vais jarter ce truc avec LA solution radicale. ^^

Télécharge Combofix sUBs : combofix
et sauvegarde le sur ton bureau et pas ailleurs!


DECONNECTE TON PC D'INTERNET


DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


Registry::
[HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope]
[HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION]

Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


En formation avancée chez Helper-Formation.
Pas de demande de support par MP !!! Le forum est fait pour ça. Merci de votre compréhension.
Bonjour juju666,

Voici le résultat de ComboFix

http://w3.mutehq.net:8008/~jonat/ComboFix.txt

Il a dû redémarrer ma machine lors du scan.

Pour l'instant, je n'ai plus de message de Just-In-Time Debugger, et je n'ai pas eu de redirection bizarre ( Après 10 minutes d'utilisation ).

Je n'étais plus capable de me mettre en veille prolongée depuis que j'avais ce rootkit, mais depuis combofix, je suis capable de le faire de nouveau. Donc ca semble bien!

Les entrées 081 et 069 semble toujours être présente pour ZHP. Je me croise les doigts!!

Je tiens à te remercier ÉNORMÉMENT de m'avoir aider avec ce problème. Tes explications ont toujours été très claire et facile à faire.

RIP RootKit!

MERCI POUR TOUT!

jonat
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
Salut,

Avec plaisir j'adore chasser la bête indésirable ^^

Refais un ZHP, on va essayer d'être débarrassé de ces lignes, mais si elles se recréés toujours, c'est possible qu'elles soient légitimes.

On va passer à l'optimisation ;)

@+
Voici le dernier log de ZHP.

http://w3.mutehq.net:8008/~jonat/ZHPDiag4.Txt
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 772
ok.

Je cherche une solution pour ces lignes, je te dis quoi au soir.

@+