Redirection vers site malveillant windows Fermé

Question

Bonjour, à tous ! 


Voila j'ai un problème lorsque je navigue sur IE, je me retrouve redirigé vers un site malveillant qui simule une contamination de mon PC à traver un onglet internet sous la forme d'un affichage WINDOWS.

J'ai donc trouver cet rurique qui correspond bien à mon problème eet j'ai ressorti sur rapport d'erreure via Smit Fraudix

http://www.commentcamarche.net/faq/2964-virus-your-computer-is-infected

Configuration: Windows XP / Internet Explorer 7.0

Voila si vous pouvez m'aider et me dire que je doit bien continuer se serait super!

SmitFraudFix v2.423

Rapport fait à 15:22:06,26, 08/11/2010
Executé à partir de E:\Mes documents	elechargement\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32
vraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\pdfforge Toolbar\SearchSettings.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Scansoft\PaperPort\pptd40nt.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Program Files\KONICA MINOLTA\magicolor 4690MF\LinkMagic for magicolor 4690MF\lmmc4690.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
E:\Mes documents	elechargement\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PIVOINE


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PIVOINE\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PIVOINE\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PIVOINE\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"RequireSignedAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CC27DC74-48D6-42AE-A877-0BED4444BDF9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CC27DC74-48D6-42AE-A877-0BED4444BDF9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{CC27DC74-48D6-42AE-A877-0BED4444BDF9}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Utilisateur anonyme · Answer

Bonjour
Smitfraudfix n'est plus utilisé

* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

benito63 · Answer

Merci Jawaryinti !

Voila le nouveau rapport effectué avec ZHP Diag.

http://www.cijoint.fr/cjlink.php?file=cj201011/cijiraSCD2.txt

Si vous connaissé la démarche à suivre je suis preneur !

Utilisateur anonyme · Answer

Effectivement, ton PC est infecté
Tu as Search Setting qui modifie les paramètres du navigateur, et tu as des rootkits, ça c'est plus embêtant

Traitons Search Setting d'abord

Télécharge Ad-Remover (de C_XX) sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html    ( Lien officiel )
https://www.androidworld.fr/ ( Miroir )

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur [b]Nettoyer[/b].
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans [b]C:\Ad-Remover-CLEAN[1].txt[/b]

benito63 · Answer

Voila Ad-report après nétoyage et redémarage

http://www.cijoint.fr/cjlink.php?file=cj201011/cijWryCTFH.txt

Utilisateur anonyme · Answer

Je dois partir, si c'est possible, on continuera plus tard dans la soirée, je reviens vers 21H

benito63 · Answer

Je te remercie pour tous ! J'ésséraie de consulter se soir. Hésite pas de m'indiquer le plus de procédure.

Merci encore

Utilisateur anonyme · Answer

On va continuer
Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.exe
* Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
dessus, et sur exécuter en tant qu'administrateur)
* Clique sur Start Scan
* Si l'outil a trouvé des éléments, clique sur Continue, 
puis sur Reboot Now
* Le PC va redémarrer, et un rapport va s'ouvrir
* Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
N° de version_Date_Heure_log.txt)

benito63 · Answer

Okay je récapitule, j'ai un problème lorsque je navigue sur IE, je me retrouve redirigé vers un site malveillant qui simule une contamination de mon PC à traver un onglet internet sous la forme d'un affichage WINDOWS.

Donc j'ai fait:

1ere rapport effectué avec ZHP Diag. 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijiraSCD2.txt 

2eme rapport Ad-remover après nétoyage et redémarage 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijWryCTFH.txt

3eme rapport tdsskiller.exe, le scan n'a rien trouvé!

http://www.cijoint.fr/cjlink.php?file=cj201011/cijldhnzt9.txt 

Merci Jawaryinty

benito63 · Answer

Up SVP !

Utilisateur anonyme · Answer

Bonjour 
J'arrive, je ne suis pas toujours là, je regarde les rapports 
Le problème, c'est que j'ai du mal à accéder sur ci joint, ça me prend du temps pour y accéder
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

benito63 · Answer

Bonjour et merci c'était un message général :)

Le rapport et peut être mal posté? 

Tdsskiller n'avais rien trouvé je sais pas se que c'est (Malware? Virus?) mais c'est coriace...

Utilisateur anonyme · Answer

Avant de commencer, fait une sauvegarde de tous tes documents 
Attention, cet outil n'est pas à utiliser à la légère, et doit 
être recommandé que par une personne formée à cet outil 
Imprime la procédure 

 Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

tutoriel pour bien utiliser l'outil 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 
---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
Surtout, accepte d'installer la console de récupération 
---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt 

O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

benito63 · Answer

Eh bien voila du nouveau:

Alors je suis la procédure décrite sur ton post et le guide. 

Tous ceci n'apparait pas: Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
Surtout, accepte d'installer la console de récupération 
---> Mets-le en langue française F 

Le programme se lance directement en francais et ne propose pas de console de récupération...

Le scan lance, le programme previen qu'il vas rebooter, redémarage, PAGE BLEU (un problème à était détécté...), bref il demande de rédémaré manuelement.

Lancement de windows impossible il faut démarrer avec la dérnière bonne configuaration connu: seul le programe démarre.

Il recommence sont scan mais quant le rapport apparait: Antivirus et conexion internet était réactivé...

Voila le rapport il faut que je recommence?

http://www.cijoint.fr/cjlink.php?file=cj201011/cijvybliVl.txt 

Merci pour votre aides, vraiment

Utilisateur anonyme · Answer

ComboFix a viré un rootkit TDL 4 qui infectait le MBR (secteur d'amorçage du  
disque dur)  
Encore des redirections ?  
Pourrais tu héberger ce fichier qui se trouve ici
C:\Program Files\ZHPDiag\MBRDump_11-08-10_15-44-29_PhysicalDrive0.bin
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

benito63 · Answer

J'ai très peu navigué, jusqu'a la aucune redirection! Je crois bien que nous somme parvenus à l'éliminé!

Merci vraiment Jawaryinti!! 

Je basculerais sur résolu une fois certains qu'il soient éliminé , maintenant moi je m'occupe d'une erreure svchost.exe (je suis pas guaté). 

http://www.commentcamarche.net/forum/affich-19787526-plantage-suite-a-erreure-svchost-exe

Merci encore

Utilisateur anonyme · Answer

ouh là, faut continuer ici, faut pas ouvrir un second sujet

Pourrais tu héberger ce rapport qui se trouve ici
C:\Program Files\ZHPDiag\MBRDump_11-08-10_15-44-29_PhysicalDrive0.bin 

Ensuite, tu dois avoir un dossier qui s'appelle C:\qoobox
Pourrai tu me le mettre dans un dossier zippé
Clic droit dessus, clic sur envoyer vers clique sur dossier compressé, puis héberge moi ce dossier compressé, et donne moi le lien

Pourrais tu me dire où est placé ce svchost.exe ?

benito63 · Answer

Lien supprimé Modération CCM 

Voila le rapport ZHPDiag (obliger de zippé j'ai l'impression) 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijo6OZfAN.zip  

Dossier Qoobox (dossier BackEnv impossible de joindre) 

Enfin je n'est plus le moteur de recherche windows!?! 

Généralement ont peut le trouver où svchost?

Utilisateur anonyme · Answer

Je ne peux pas ouvrir tes rapports  
Tu pourrai peut-être m'envoyer le dossier zippé de Qoobox, mais le problème 
il faudrai être inscrit ici pour que je puisse te donner mon adresse e mail 

svchost.exe doit se trouver dans C:\Windows\System32\svchost.exe

O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

benoto_63 · Answer

toujours le problème de redirection .... C'est aléatoire

Il semble que ce soit encore très compliqué

J'ai encore des redirection vers GOMEO ...

A toute

Utilisateur anonyme · Answer

Bonsoir
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32un.cmd 
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] . (.Microsoft Corporation - Interpréteur de commandes Windows.) -- C:\Windows\System32\cmd.exe 
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] . (.Microsoft Corporation - DLL d'action personnalisée d'installation.) -- C:\WINDOWS\system32	scupgrd.exe 
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32un.cmd 
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] . (.Microsoft Corporation - Interpréteur de commandes Windows.) -- C:\Windows\System32\cmd.exe 
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] . (.Microsoft Corporation - DLL d'action personnalisée d'installation.) -- C:\WINDOWS\system32	scupgrd.exe 


Clique sur le lien
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

benito063 · Answer

J'utilise en effet une licence groupe, rien de piraté, je possède une version officiel de Microsoft.

J'ai appelé leurs technicien ce matin, il s'avère qu'après un reformatage notre informaticien à réinstallé notre système avec un autre CD, impossible de s'enregistré mais nous somme parfaitement en règle me dit le technicien...

Du coup est-ce que cela nui à ta procédure ?

Je suis maintenant inscrit inscrit sur le forum, pseudo benito063

Utilisateur anonyme · Answer

Bonjour 
mais nous somme parfaitement en règle me dit le technicien...  
C'est faux, si tu ne peux pas t'enregistrer, c'est que ton Windows est non officiel,
ce qui explique pourquoi tu as attrapé des cochonneries

O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

Redirection vers site malveillant windows

22 réponses

Discussions similaires