redirection automatique vers des pubs, virus? Fermé

Question

Bonjour, 

Depuis hier lorsque j'essaie d'ouvrir un lien suite à une recherche google je suis presque tout le temps rediriger sur une page de pub. Je crains que ce soit un virus.
Il y a-t-il quelque chose que je puisse faire pour y remédier? 

Merci d'avance pour votre aide


Configuration: Windows 7 / Firefox 3.5.18

juju666 · Accepted Answer

Bonjour,

Suite à la demande des modérateurs :

@hugsy:

&#9654 Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

&#9654 Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

&#9654 Lance OTL
&#9654 Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c 
&#9654 Clique sur le bouton Analyse.
&#9654 Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

hugsy · Answer

du coup je fais quoi?
j'ai lancé OTL sur les conseils de juju666, dois-je poursuivre?

hugsy · Answer

voila le lien pour le rapport

https://pjjoint.malekal.com/files.php?id=l10p5x13x12p14e97y13p15

juju666 · Answer

nickel :o)

1/

Spybot et AD-Aware ==> poubelle !
Ils sont dépassés, ne servent plus à rien ... :o)

====================

2/

Comme le signalais Lyonnais92, tu es victime de redirections via ton fichier Hosts

&#9654 Télécharger RstHost d'Xplode  

&#9654 Double clic sur l'icône RstHost pour l'exécuter   
&#9654 &#9654  /!\ Vista/Seven : clic droit sur le logiciel, et choisir "Exécuter en tant qu'administrateur /!\   
&#9654 Clique sur l'option "Restaurer"  
&#9654 Clique sur "Ok" lors de la confirmation de la restauration  
&#9654 Poste le rapport qui s'ouvre à la fin  
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)   
&#9654 &#9654 Ferme le rapport et le programme.  

=====================

3/
Redémarre ton ordinateur puis:

Refaire un scan avec OTL comme expliqué ici

A+

hugsy · Answer

le rapport :

Rapport RstHosts v1.5 - 14/04/2011 à 13:34
Mis à jour le 30/11/10 à 19h30 par Xplode
Système d'exploitation : Windows 7 Home Premium (32 bits) [version 6.1.7600] 
Nom d'utilisateur : Julie - JULIE-MSI (Administrateur)
Exécuté depuis : C:\Users\Julie\Desktop\RstHosts.exe
Option : [Restaurer]

++++++++++ [[Restauration du fichier hosts]] ++++++++++ 

-> Suppression... OK !
-> BackUp sauvegardé sous C:\RstHostsBkp.bak ... OK !
-> Copie du fichier hosts sain vers C:\windows\system32\drivers\etc\hosts ... OK !

-> Fichier Hosts restauré avec succès !

++++++++++ [[Propriétés du fichier hosts]] ++++++++++ 

Emplacement : C:\windows\system32\drivers\etc\hosts
Attribut(s) : RASH
Taille : 89 octets
Date de création : 14/07/2009 - 04:04
Date de modification : 21/11/2010 - 15:59
Date de dernier accès : 14/04/2011 - 13:34

++++++++++ [[Contenu du fichier hosts ( Avant restauration )]] ++++++++++ 

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#	127.0.0.1       localhost
#	::1             localhost

209.172.52.71	www.google.com
209.172.52.72	search.yahoo.com


++++++++++ [[Contenu du fichier hosts ( Après restauration )]] ++++++++++ 

# Fichier Hosts créé par RstHosts

127.0.0.1       localhost
::1             localhost

########## EOF - "C:\RstHosts.txt" - [2097 octets] ##########

juju666 · Answer

OK, c'est vu, il n'y a plus d'infections visibles sur ton rapport... Es-tu toujours redirigé vers des publicités ?

1/ 

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


&#9654 Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O4 - HKCU\..\Run: [Qlamuyuruwokuq]  File not found

:commands
[emptytemp]
[start explorer]


&#9654 Clique sur « Correction » et laisse l'outil travailler. L'ordinateur redémarre.

&#9654 Copie/colle la totalité du rapport dans ta prochaine réponse.

============================

2/

Repasse un coup de Malwarebytes' en scan COMPLET.

hugsy · Answer

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Julie
->Temp folder emptied: 26618698 bytes
->Temporary Internet Files folder emptied: 12211188 bytes
->Java cache emptied: 16443770 bytes
->FireFox cache emptied: 50239302 bytes
->Google Chrome cache emptied: 7636384 bytes
->Flash cache emptied: 144923 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 6 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 14902 bytes
RecycleBin emptied: 7366759416 bytes
 
Total Files Cleaned = 7,134.00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 04142011_135910

Files\Folders moved on Reboot...
File move failed. C:\windows	emp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...



voila le rapport, je lance un scan malwarebytes

juju666 · Answer

c'est parfait ;)

On finalise, donc :

&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
&#9654 &#9654 cliques sur nettoyeur 
&#9654cliques sur windows et dans la colonne avancé 
&#9654coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifs en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
&#9654 &#9654 cliques maintenant sur registre et puis sur rechercher les erreurs 
&#9654 laisses tout cochées et cliques sur réparer les erreurs sélectionnées 
&#9654 il te demande de sauvegarder OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
&#9654 il supprime et fermer tu vérifies en relançant rechercher les erreurs 
&#9654 tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
&#9654 tu peux fermer Ccleaner 

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l'application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d'autres questions, je t'écoute avec plaisir :)

@+

hugsy · Answer

ok merci pour tout.
je vais regarder les infos que tu m'a donné!

a+

Redirection automatique vers des pubs, virus?

9 réponses

Discussions similaires