Redirection de recherche + Just-In-Time Debug

Résolu
jonat -  
 jonat -
Bonjour,

J'ai un problème depuis maintenant une semaine. Je recois des erreur "Just-In-Time Debugging" sans arrêt et quelques-une de mes recherches se font redirigés. J'ai scanné avec Malwarebyte et ComboFix, ils ont effacé ce qu'ils trouvaient mais ca ne semble pas s'être amélioré. Que dois-je faire?

Merci,

Jonat

38 réponses

  • 1
  • 2
Résumé de la discussion

Des erreurs Just-In-Time Debugging répétées et des redirections de recherches apparaissent sur Windows XP avec Firefox 3.6.8, persistantes malgré des scans avec Malwarebytes et ComboFix. Plusieurs réponses recommandent d’analyser avec des outils tels que ZHPDiag et ZHPFix, ainsi que VirusTotal, d’utiliser le mode sans échec avec réseau pour vérifier la persistance, et d’examiner des fichiers suspects comme cleanup.exe. D'autres interventions évoquent aussi la suppression de clés de registre et des domaines réseau compromis, l'envoi de liens VirusTotal, et l'emploi de rapports comme ZHPDiag pour diagnostic. Par ailleurs, certaines informations notent que cleanup.exe peut être lié à Avenger ou à des composants légitimes, ce qui exige de vérifier les comportements et de privilégier des sources fiables.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour pourrais tu poster les rapports MBAM et ComboFix?

    Ce dernier fix n'est pas a utiliser sans demande expresse.

    On va faire un diagnostic pour y voir plus clair:

    * Télécharge ZHP: https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    @+
    0
  2. jonat
     
    Merci juju666 de prendre le temps de me répondre.

    Ca commence mal, je crois que ce "virus" m'empêche de publier des documents sur internet. J'ai le message:

    La connexion a été réinitialisée
    
    La connexion avec le serveur a été réinitialisée pendant le chargement de la page.


    J'ai publié les documents ici:

    http://w3.mutehq.net:8008/~jonat/mbam-log-2010-08-09%20%2816-08-21%29.txt
    http://w3.mutehq.net:8008/~jonat/mbam-log-2010-08-09%20%2821-11-38%29.txt

    http://w3.mutehq.net:8008/~jonat/ZHPDiag.Txt
    http://w3.mutehq.net:8008/~jonat/ComboFix.txt

    J'ai fais 2 scan avec MalwareByte... La raison est que j'ai dû arrêter le scan la première fois.
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Il se peut simplement que cijoint soient surchargés.

    Combo n'a rien supprimé de très méchant.... MBAM à lui délesté ta quarantaine pour la plupart des fichiers supprimés ^^

    Désinstalle SnagIt Toolbar ==> tout à fait inutile.

    Sais tu ce qu'est [TSClientMSIUninstaller] ? Si non, envoie le fichier %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs sur virustotal.com/fr

    %systemroot% étant considéré le répertoire par défaut des fichiers de windows (en général C:\Windows)

    Tu a un windows pirate???

    C'est toi qui a installé tmi.telus.com?

    Sans ces dernière infos, je ne fixe rien :)
    0
  4. jonat
     
    J'ai essayé avec d'autre site du même style de cijoint et rien n'a fonctionné non plus.

    Effectivement SnagIt je ne m'en suis jamais servi. Effacé!

    TSClientMSIUninstaller est selon moi une application corporative qui est dans mon laptop (ce n'est pas mon ordinateur personnel)

    Mon windows n'est certainement pas pirate.

    tmi.telus.com c'est relatif à mon domaine (il s'agit d'un ordinateur de compagnie)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    En effet tes pages sont détournées; on va régler ça ne t'inquiète pas ;)

    Lance ZHPFix présent normalement sur ton bureau (si pas, retélécharge le)

    Copie le texte suivant:

    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe


    Clique sur le "A" rouge (coller les lignes Helper)

    Normalement tout ce qui commence par 017 devrait s'afficher (le logiciel prend ce qu'il se trouve dans ton presse papier)

    Clique sur Ok, et poste le rapport qui s'affichera :)

    EDIT: j'ai modifié mon script, j'espère que tu ne l'avais pas encore effectué, si oui, dis le tout de suite afin qu'on effectue une restauration du système.
    0
  7. jonat
     
    Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 02/08/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-2010-08-10-11-46-08.txt
    Run by T832525 at 2010-08-10 11:46:08
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Elément(s) de donnée du Registre ==========
    O17 - HKLM\System\CCS\Services\Tcpip\..\{642ECA64-3B78-4A53-B9F8-320D14BD2E2D}: DhcpNameServer = 142.168.100.48 142.168.100.49 => Donnée supprimée avec succès
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DEE48C75-902C-476A-B85B-AF8A37807899}: DhcpNameServer = 142.168.100.48 142.168.100.49 => Donnée supprimée avec succès
    O17 - HKLM\System\CS1\Services\Tcpip\..\{642ECA64-3B78-4A53-B9F8-320D14BD2E2D}: DhcpNameServer = 142.168.100.48 142.168.100.49 => Donnée supprimée avec succès
    O17 - HKLM\System\CS1\Services\Tcpip\..\{DEE48C75-902C-476A-B85B-AF8A37807899}: DhcpNameServer = 142.168.100.48 142.168.100.49 => Donnée supprimée avec succès
    O17 - HKLM\System\CS3\Services\Tcpip\..\{DEE48C75-902C-476A-B85B-AF8A37807899}: DhcpNameServer = 142.168.100.48 142.168.100.49 => Donnée supprimée avec succès
    O17 - HKLM\System\CCS\Services\Tcpip\..\{642ECA64-3B78-4A53-B9F8-320D14BD2E2D}: DhcpDomain = corp.ads => Donnée supprimée avec succès
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DEE48C75-902C-476A-B85B-AF8A37807899}: DhcpDomain = corp.ads => Donnée supprimée avec succès
    O17 - HKLM\System\CS1\Services\Tcpip\..\{642ECA64-3B78-4A53-B9F8-320D14BD2E2D}: DhcpDomain = corp.ads => Donnée supprimée avec succès
    O17 - HKLM\System\CS1\Services\Tcpip\..\{DEE48C75-902C-476A-B85B-AF8A37807899}: DhcpDomain = corp.ads => Donnée supprimée avec succès
    O17 - HKLM\System\CS3\Services\Tcpip\..\{DEE48C75-902C-476A-B85B-AF8A37807899}: DhcpDomain = corp.ads => Donnée supprimée avec succès
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = corp.ads => Donnée supprimée avec succès
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = tmi.telus.com,corporate,wireless.corp.ads,corp.ads => Donnée supprimée avec succès
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 142.168.100.48 142.168.100.49 => Donnée supprimée avec succès

    ========== Récapitulatif ==========
    13 : Elément(s) de donnée du Registre

    End of the scan

    Par contre j'ai un peu l'impression que tout cela avait des liens avec le domaine de mon ordinateur...
    tmi.telus.com,corporate, wireless.corps.ads ... pour moi ces inscriptions ne sonnaientt pas malicieuses
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      J'ai été trop vite j'ai pas vérifié effectivement.

      Fais ceci: Démarrer, Programmes, Accessoires, Outils système, Restauration du système, Restaurer mon ordinateur à une date antérieure

      Clique sur le dernier point de restauration avant cette dernière manipulation.

      Accepte. Ton pc va redémarrer.

      Tuto: http://www.ac-nancy-metz.fr/services/monxp/restauration_syst%C3%A8me_xp.htm
      0
  8. jonat
     
    Désolé, ce fût un peu long le redémarrage avec la restauration.

    Je viens de réinstaller malwarebytes pour un nouveau scan car j'ai dû restaurer au 8 août.

    J'ai aussi exécuté les lignes pour svchost

    Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 02/08/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-2010-08-10-12-37-38.txt
    Run by T832525 at 2010-08-10 12:37:38
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Valeur(s) du Registre ==========
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

    ========== Récapitulatif ==========
    2 : Valeur(s) du Registre

    End of the scan

    Il semble que j'ai perdu une entrée. Le scan Malwarebyte risque de prendre un bon 4heures. Est-ce que vous voulez que je ré-exécute ZHPDiag tout de suite ou après Malwarebyte?
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonsoir,

    Et encore désolé pour cette procédure qui n'aurait pas eu lieu d'être si j'avais pris la peine de regarder plus attentivement....

    Oui, après le scan malwarebytes' je veux bien un ZHP de contrôle. Voir si le proxi à bien été réinstallé.
    0
  10. jonat
     
    Bon matin juju666,

    J'ai resupprimé les fichiers trouvé par malwarebyte's et j'ai resupprimé les clés dans la base de registre.

    Malheureusement ces clés reviennent à chaque démarrage.

    J'ai refais un rapport avec ZHP.

    http://w3.mutehq.net:8008/~jonat/ZHPDiag2.Txt
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Avant de continuer, j'aimerai avoir STP le rapport de MBAM ;-)
    0
  12. jonat
     
    Bonjour,

    http://w3.mutehq.net:8008/~jonat/mbam-log-2010-08-10%20%2818-23-18%29.txt

    Voici le dernier scan effectué avec MBAM.
    0
  13. jonat
     
    Bonjour,

    Voici le rapport MBAM

    http://w3.mutehq.net:8008/~jonat/mbam-log-2010-08-10%20%2818-23-18%29.txt
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Je vérifierai au soir car là pas le temps mais j'ai vu "en gros"

      @+
      0
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonsoir,

    Lance ZHPFix (pas ZHP Diag!!!)

    Copie le texte en gras ci-dessous:
    -----
    O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (@ieframe.dll,-12512) - https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8

    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

    -----

    Logiquement, celui ci devrait apparaître dans la fenêtre ZHPFix

    Clique sur Ok

    Poste le rapport généré par l'outil.

    @+
    En formation avancée chez Helper-Formation.
    Pas de demande de support par MP !!! Le forum est fait pour ça. Merci de votre compréhension.
    0
  15. jonat
     
    Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 02/08/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-2010-08-11-13-59-48.txt
    Run by T832525 at 2010-08-11 13:59:48
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Valeur(s) du Registre ==========
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

    ========== Elément(s) de donnée du Registre ==========
    O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (@ieframe.dll,-12512) - https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8 => Donnée supprimée avec succès

    ========== Récapitulatif ==========
    2 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre

    End of the scan
    0
  16. jonat
     
    Je viens de redémarrer

    http://w3.mutehq.net:8008/~jonat/ZHPDiag3.Txt

    Il m'aime je crois, il ne veut pas partir :)
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Quelle belle histoire d'amour :D

    Désolé, je vais jarter ce truc avec LA solution radicale. ^^

    Télécharge Combofix sUBs : combofix
    et sauvegarde le sur ton bureau et pas ailleurs!

    DECONNECTE TON PC D'INTERNET

    DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    Registry::
    [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope]
    [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION]

    Enregistre ce fichier sous le nom CFScript

    [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

    http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

    [*]Combofix se lance, laisse toi guider..

    [*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    [*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

    [*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    En formation avancée chez Helper-Formation.
    Pas de demande de support par MP !!! Le forum est fait pour ça. Merci de votre compréhension.
    0
  18. jonat
     
    Bonjour juju666,

    Voici le résultat de ComboFix

    http://w3.mutehq.net:8008/~jonat/ComboFix.txt

    Il a dû redémarrer ma machine lors du scan.

    Pour l'instant, je n'ai plus de message de Just-In-Time Debugger, et je n'ai pas eu de redirection bizarre ( Après 10 minutes d'utilisation ).

    Je n'étais plus capable de me mettre en veille prolongée depuis que j'avais ce rootkit, mais depuis combofix, je suis capable de le faire de nouveau. Donc ca semble bien!

    Les entrées 081 et 069 semble toujours être présente pour ZHP. Je me croise les doigts!!

    Je tiens à te remercier ÉNORMÉMENT de m'avoir aider avec ce problème. Tes explications ont toujours été très claire et facile à faire.

    RIP RootKit!

    MERCI POUR TOUT!

    jonat
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Avec plaisir j'adore chasser la bête indésirable ^^

    Refais un ZHP, on va essayer d'être débarrassé de ces lignes, mais si elles se recréés toujours, c'est possible qu'elles soient légitimes.

    On va passer à l'optimisation ;)

    @+
    0
  20. jonat
     
    Voici le dernier log de ZHP.

    http://w3.mutehq.net:8008/~jonat/ZHPDiag4.Txt
    0
  21. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ok.

    Je cherche une solution pour ces lignes, je te dis quoi au soir.

    @+
    0
  • 1
  • 2