Redirection vers site malveillant windows

benito63 -  
 Utilisateur anonyme -
Bonjour, à tous !

Voila j'ai un problème lorsque je navigue sur IE, je me retrouve redirigé vers un site malveillant qui simule une contamination de mon PC à traver un onglet internet sous la forme d'un affichage WINDOWS.

J'ai donc trouver cet rurique qui correspond bien à mon problème eet j'ai ressorti sur rapport d'erreure via Smit Fraudix

http://www.commentcamarche.net/faq/2964-virus-your-computer-is-infected



Voila si vous pouvez m'aider et me dire que je doit bien continuer se serait super!

SmitFraudFix v2.423

Rapport fait à 15:22:06,26, 08/11/2010
Executé à partir de E:\Mes documents\telechargement\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\pdfforge Toolbar\SearchSettings.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Scansoft\PaperPort\pptd40nt.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Program Files\KONICA MINOLTA\magicolor 4690MF\LinkMagic for magicolor 4690MF\lmmc4690.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
E:\Mes documents\telechargement\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PIVOINE

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PIVOINE\LOCALS~1\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PIVOINE\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PIVOINE\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"RequireSignedAppInit_DLLs"=dword:00000001

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CC27DC74-48D6-42AE-A877-0BED4444BDF9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CC27DC74-48D6-42AE-A877-0BED4444BDF9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CC27DC74-48D6-42AE-A877-0BED4444BDF9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

22 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    ComboFix a viré un rootkit TDL 4 qui infectait le MBR (secteur d'amorçage du
    disque dur)
    Encore des redirections ?
    Pourrais tu héberger ce fichier qui se trouve ici
    C:\Program Files\ZHPDiag\MBRDump_11-08-10_15-44-29_PhysicalDrive0.bin
    O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
    1
  2. Utilisateur anonyme
     
    Bonjour
    Smitfraudfix n'est plus utilisé

    * Télécharge ZHPDiag (de Nicolas Coolman)
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Héberge le rapport ICI
    0
  3. benito63
     
    Merci Jawaryinti !

    Voila le nouveau rapport effectué avec ZHP Diag.

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijiraSCD2.txt

    Si vous connaissé la démarche à suivre je suis preneur !
    0
  4. Utilisateur anonyme
     
    Effectivement, ton PC est infecté
    Tu as Search Setting qui modifie les paramètres du navigateur, et tu as des rootkits, ça c'est plus embêtant

    Traitons Search Setting d'abord

    Télécharge Ad-Remover (de C_XX) sur ton bureau:
    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    https://www.androidworld.fr/ ( Miroir )

    Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur [b]Nettoyer[/b].
    Laisse travailler l'outil.
    Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
    Il est sauvegardé dans [b]C:\Ad-Remover-CLEAN[1].txt[/b]

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. benito63
     
    Voila Ad-report après nétoyage et redémarage

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijWryCTFH.txt
    0
  7. Utilisateur anonyme
     
    Je dois partir, si c'est possible, on continuera plus tard dans la soirée, je reviens vers 21H
    0
  8. benito63
     
    Je te remercie pour tous ! J'ésséraie de consulter se soir. Hésite pas de m'indiquer le plus de procédure.

    Merci encore
    0
  9. Utilisateur anonyme
     
    On va continuer
    Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau
    https://support.kaspersky.com/downloads/utils/tdsskiller.exe
    * Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
    dessus, et sur exécuter en tant qu'administrateur)
    * Clique sur Start Scan
    * Si l'outil a trouvé des éléments, clique sur Continue,
    puis sur Reboot Now
    * Le PC va redémarrer, et un rapport va s'ouvrir
    * Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
    N° de version_Date_Heure_log.txt
    )

    0
  10. benito63
     
    Okay je récapitule, j'ai un problème lorsque je navigue sur IE, je me retrouve redirigé vers un site malveillant qui simule une contamination de mon PC à traver un onglet internet sous la forme d'un affichage WINDOWS.

    Donc j'ai fait:

    1ere rapport effectué avec ZHP Diag.

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijiraSCD2.txt

    2eme rapport Ad-remover après nétoyage et redémarage

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijWryCTFH.txt

    3eme rapport tdsskiller.exe, le scan n'a rien trouvé!

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijldhnzt9.txt

    Merci Jawaryinty
    0
  11. Utilisateur anonyme
     
    Bonjour
    J'arrive, je ne suis pas toujours là, je regarde les rapports
    Le problème, c'est que j'ai du mal à accéder sur ci joint, ça me prend du temps pour y accéder
    O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
    0
  12. benito63
     
    Bonjour et merci c'était un message général :)

    Le rapport et peut être mal posté?

    Tdsskiller n'avais rien trouvé je sais pas se que c'est (Malware? Virus?) mais c'est coriace...
    0
  13. Utilisateur anonyme
     
    Avant de commencer, fait une sauvegarde de tous tes documents
    Attention, cet outil n'est pas à utiliser à la légère, et doit
    être recommandé que par une personne formée à cet outil

    Imprime la procédure

    Télécharge ComboFix de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    tutoriel pour bien utiliser l'outil
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
    Surtout, accepte d'installer la console de récupération
    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
    0
  14. benito63
     
    Eh bien voila du nouveau:

    Alors je suis la procédure décrite sur ton post et le guide.

    Tous ceci n'apparait pas: Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
    Surtout, accepte d'installer la console de récupération
    ---> Mets-le en langue française F

    Le programme se lance directement en francais et ne propose pas de console de récupération...

    Le scan lance, le programme previen qu'il vas rebooter, redémarage, PAGE BLEU (un problème à était détécté...), bref il demande de rédémaré manuelement.

    Lancement de windows impossible il faut démarrer avec la dérnière bonne configuaration connu: seul le programe démarre.

    Il recommence sont scan mais quant le rapport apparait: Antivirus et conexion internet était réactivé...

    Voila le rapport il faut que je recommence?

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijvybliVl.txt

    Merci pour votre aides, vraiment
    0
  15. benito63
     
    J'ai très peu navigué, jusqu'a la aucune redirection! Je crois bien que nous somme parvenus à l'éliminé!

    Merci vraiment Jawaryinti!!

    Je basculerais sur résolu une fois certains qu'il soient éliminé , maintenant moi je m'occupe d'une erreure svchost.exe (je suis pas guaté).

    http://www.commentcamarche.net/forum/affich-19787526-plantage-suite-a-erreure-svchost-exe

    Merci encore
    0
  16. Utilisateur anonyme
     
    ouh là, faut continuer ici, faut pas ouvrir un second sujet

    Pourrais tu héberger ce rapport qui se trouve ici
    C:\Program Files\ZHPDiag\MBRDump_11-08-10_15-44-29_PhysicalDrive0.bin

    Ensuite, tu dois avoir un dossier qui s'appelle C:\qoobox
    Pourrai tu me le mettre dans un dossier zippé
    Clic droit dessus, clic sur envoyer vers clique sur dossier compressé, puis héberge moi ce dossier compressé, et donne moi le lien

    Pourrais tu me dire où est placé ce svchost.exe ?
    0
  17. benito63
     
    Lien supprimé Modération CCM

    Voila le rapport ZHPDiag (obliger de zippé j'ai l'impression)

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijo6OZfAN.zip

    Dossier Qoobox (dossier BackEnv impossible de joindre)

    Enfin je n'est plus le moteur de recherche windows!?!

    Généralement ont peut le trouver où svchost?
    0
  18. Utilisateur anonyme
     
    Je ne peux pas ouvrir tes rapports
    Tu pourrai peut-être m'envoyer le dossier zippé de Qoobox, mais le problème
    il faudrai être inscrit ici pour que je puisse te donner mon adresse e mail

    svchost.exe doit se trouver dans C:\Windows\System32\svchost.exe

    O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø
    0
  19. benoto_63
     
    toujours le problème de redirection .... C'est aléatoire

    Il semble que ce soit encore très compliqué

    J'ai encore des redirection vers GOMEO ...

    A toute
    0
  20. Utilisateur anonyme
     
    Bonsoir
    O4 - HKUS\S-1-5-18\..\RunOnce: [Config] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\run.cmd
    O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] . (.Microsoft Corporation - Interpréteur de commandes Windows.) -- C:\Windows\System32\cmd.exe
    O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] . (.Microsoft Corporation - DLL d'action personnalisée d'installation.) -- C:\WINDOWS\system32\tscupgrd.exe
    O4 - HKUS\S-1-5-18\..\RunOnce: [Config] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\run.cmd
    O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] . (.Microsoft Corporation - Interpréteur de commandes Windows.) -- C:\Windows\System32\cmd.exe
    O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] . (.Microsoft Corporation - DLL d'action personnalisée d'installation.) -- C:\WINDOWS\system32\tscupgrd.exe


    Clique sur le lien
    https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows
    0
  • 1
  • 2