Malware, clés stockées, moteur de recherches Fermé

Question

Bonjour à toutes et à tous, 

Depuis hier, mon moteur de recherches s'est mis à dysfonctionner : 
Quand je passe par la barre de Recherches via Google, les sites sur lequel je souhaite accéder sont remplacés par des sites publicitaires.  
La barre de Liens quant à elle me permet de voir les sites en question tout comme mes Marque-pages précédemment enregistrés (mais ça ne marche pas à tous les coups). 

J'avais Mozilla Firefox 5. Je l'ai désinstallé pour remettre le 4; problème toujours présent. 

Après une après-midi de recherches, j'ai téléchargé Malwarebytes' Anti-Malware et procédé à un scan, comme avec mon anti-virus Avira AntiVir Personal. 
Ceux-ci m'ont trouvé des fichiers infectés et les ont supprimé par la suite; problème toujours présent. 
Malwarebytes' Anti-Malware affiche régulièrement un message du genre de : 
https://imageshack.com/

Récemment j'ai téléchargé un jeu Steam : Forsaken World pour y rejoindre des amis. L'installation finie, les mises à jour aussi, je clique sur "Commencer" et ce message d'erreur apparaît : https://imageshack.com/

Ne préférant pas faire n'importe quoi avec les logiciels proposés pour chaque résolution sur divers forums, je préfère poster moi même un sujet. 

Dans l'attente d'un réponse, je vous remercie par avance. 


Configuration: Windows 7 / Firefox 4.0.1

Malekal_morte- · Answer

Salut,

Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement surtout en respectant l'ordre des étapes et attendre d'avoir fini chaque étape pour passer à la suivante.
Bien poster les rapports comme demandés afin de pouvoir les analyser.


ETAPE 1 :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.

ETAPE 2 :

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
!!! Malwarebyte doit être à jour avant de faire le scan !!!

ETAPE 3 :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/ 

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau. 
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur) 

* Lance OTL 
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous : 
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs 
* Clique sur le bouton Analyse. 
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports. 
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

Sin041 · Answer

Salut,

Voici donc les rapports :

TDSSKiller : https://pjjoint.malekal.com/files.php?id=c5082e4f8271212

Malwarebyte : https://pjjoint.malekal.com/files.php?id=0018c795678511
(suite à un scan complet par contre)

OTL  : https://pjjoint.malekal.com/files.php?id=721cbdd15b101315
et les Extras : https://pjjoint.malekal.com/files.php?id=ecf8fc830e5119
(ce message a été affiché durant l'analyse : https://imageshack.com/ )

Malekal_morte- · Answer

Okay.

Menu Démarrer / tous les programmes / Accessories / invites de commandes.
Tu vas avoir une fenêtre noire, envoie cette commande : nslookup www.google.fr
Donne le résultat ici.

Tu te connectes avec quoi ? Livebox ?

Sin041 · Answer

Voici le résultat : https://imageshack.com/

Oui je me connecte avec une Livebox, j'avais omis de le préciser.

Malekal_morte- · Answer

donne les résulstats de : ping www.google.fr
et : et echo %PATH%

et fais une recherche de nslookup et wsock32.dll
donne les localisations.

Sin041 · Answer

Invité de commande : https://imageshack.com/

Recherche de nslookup : https://imageshack.com/

Recherche de wsock32.dll :                                                                                       https://imageshack.com/

Sin041 · Answer

Les programmes sont présents en un seul exemplaire sur l'ordinateur.

Les deux autres ordinateurs : un portable et un fixe n'ont pas ce problème.

Malekal_morte- · Answer

Tu peux faire un reset de la Livebox ?
Voir si ça change qq chose.

et fais ça :

Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur « Download EXE » et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet « rootkit »
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur « Copy »

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

Sin041 · Answer

Après reset de la Livebox, j'ai du redémarrer l'ordinateur qui ne voulait plus se connecter. 

Pour ce qui est de GMER, je ne pouvais pas cocher de "System" à "Libraries" qui sont cochés sur le lien du tutoriel.

A la fin du scan, le message "GMER hasn't found any system modification." apparaît mais il n'y a pas de texte à copier.

Malekal_morte- · Answer

Upload C:\Program Files (x86)\Mozilla Firefox\plugins
pwachk.dll  sur http://upload.malekal.com

~~

Si tu vas sur Internet Explorer et que tu fais des recherches Google ça donne quoi ?
Sur Firefox, si tu te passes pas par la barre de recherche mais directement par Google, ça donne quoi ?

Sin041 · Answer

Bonjour, 

"L'upload a réussi !"

Si je vais sur Internet Explorer, que je crée un nouvel onglet et que je tape quelque chose sur Google je tombe sur une publicité où sur rien du tout.

Directement par Google ? s'il est mis en page d'acueil ? (ce qui est le cas, comme pour Internet Explorer) ça me fait comme Internet Explorer : dirigé vers une publicité ou rien du tout.

Malekal_morte- · Answer

Tu as le DVD De Windows ?

Sin041 · Answer

Non je n'ai pas le DVD. A la base, cet ordinateur était sous Vista, un ami me l'a fait passer sous Seven.

Malekal_morte- · Answer

Tu peux tenter la manip avec SuperGrub en bas de cette page : https://www.malekal.com/rootkit-tdssalueron-tdl-4-nouvelle-variante/

Vois ensuite si tu as encore des popups/redirections.

Sin041 · Answer

BurnCDCC(TM) me dit à chaque fois "Please insert a 'blank' disc into the drive." or je suis certain que le CD que j'ai inséré est vierge.  

Edit : il vient de se mettre en gravure.

A la fin de la gravure, après peut-être 1 ou 2 minutes d'attente, ce message apparaît :

Unable to read from disc.
(0h : 02 3A 01 70)

Puis le logiciel dit : Last proceed failed.

Sin041 · Answer

Sûrement, je vais voir ça.   

Edit : La gravure a été un succès, je vais procéder au bootage via le CD. 

Suite : J'ai un problème avec l'étape suivante : Bootez sur le CD et choisissez avec les flèches de ton clavier ?WIN=> MBR & !WIN! 

Booter sur un CD, ce n'est pas sensé être le fait de passer par le BIOS au démarrage de l'ordinateur en appuyant sur F2, choisir l'onglet Boot, avoir en n°1 CD/DVD etc et ensuite laisser poursuivre le démarrage de l'ordinateur ? car je n'ai pas rencontré cette fenêtre https://www.malekal.com/wp-content/uploads/supergrub.png pour choisir ?WIN=> MBR & !WIN! .

Windows a crashé. Arrivé sur mon Bureau, une fenêtre apparaît :

Windows a redémarré après un arrêt non planifié.

Windows peut rechercher une solution au problème en ligne.

Signature du problème :
  Nom d'événement de problème:	BlueScreen
  Version du système:	6.1.7601.2.1.0.256.48
  Identificateur de paramètres régionaux:	1036

Informations supplémentaires sur le problème :
  BCCode:	1e
  BCP1:	0000000000000000
  BCP2:	0000000000000000
  BCP3:	0000000000000000
  BCP4:	0000000000000000
  OS Version:	6_1_7601
  Service Pack:	1_0
  Product:	256_1

Fichiers aidant à décrire le problème :
  C:\Windows\Minidump\062911-25646-01.dmp
  C:\Users\Administrateur Sin\AppData\Local\Temp\WER-52541-0.sysdata.xml

Lire notre déclaration de confidentialité en ligne :
  http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x040c

Si la déclaration de confidentialité en ligne n'est pas disponible, lisez la version hors connexion :
  C:\Windows\system32\fr-FR\erofflps.txt

Sin041 · Answer

Suite à une question d'un collègue, je suis allé tester le CD de boot sur le PC avec lequel j'ai créé le CD.

Il y a au démarrage la phrase type "Appuyez sur n'importe quelle touche pour lancer ..." Phrase qui n'apparaît pas sur mon PC.

Dans le menu du BIOS j'ai vu que mon "F12 Boot Menu" était sur [Disable], je l'ai passé sur [Enable]. 

J'ai sinon pris en photo les menus pour montrer l'ordre des possibilités qui est bonne normalement :

Boot Menu 1 : https://imageshack.com/
Boot Menu 2 : https://imageshack.com/

Multi Boot Menu, priorités 1 : https://imageshack.com/
Multi Boot Menu, priorités 2 : https://imageshack.com/

Enable dans le menu BIOS : https://imageshack.com/

Sin041 · Answer

Rien :/
702 Mo libres sur 702 Mo

g3n-h@ckm@n · Answer

salut je survole  

si une CD-R de Win 7/32  ca peut aider : 

http://sd-4.archive-host.com/membres/up/829108531491024/cdr_w7.iso 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

je crois que j'ai un souci regarde ma page google :

https://www.cjoint.com/?AFDxyyMYpvd

g3n-h@ckm@n · Answer

ah lol ben j'arrive plus à avoir la page de où je l'ai eu ..;;:S

Sin041 · Answer

Du coup, là que mon PC est devenu inutilisable, il va se passer quoi ? faut un windows 7 pour boot dessus et espérer que ça marche ?

g3n-h@ckm@n · Answer

sinon la console de recup' est integrée à win 7 dans "réparer l'ordinateur" au menu étendu du menu MSE via F8  

suffit d'envoyer le prompt et entrer les commandes si lieu il y a 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Malekal_morte- · Answer

Ben faudrait voir à quel moment il reboot, voir si t'as les menus d'option de démarrage. 

Si tu peux vraiment rien faire. 
Faudrait que quelqu'un qui a Seven, te grave le CD de récupération : http://www.forum-seven.com/forum/ 

Ca permettra de pouvoir récupérer tout. 

Si tu as personne qui a Seven pour le faire ou qui a un DVD de Seven (Collègue etc), j'essayerai de trouver quelqu'un pour le faire. 

Yes, no, maybe 
I don't know 
Can you repeat the question? 
You're not the boss of me now

Sin041 · Answer

Après pression de F8 un peu partout, plusieurs choix s'offrent à moi : 
Safe Mode
Safe Mode with Networking
Safe Mode with Command Prompt 

Enable Boot Logging
Enable low-resolution video (640x480)
Last Know Good Configuration (advanced)
Directory Services Restore Mode
Debugging Mode
Disable automatic restart on system failure
Disable Driver Signature Enforcement

Start Windows Normally

g3n-h@ckm@n · Answer

chuis en train d'en remettre une en ligne    

dans 34mn elle sera accessible ici : 

http://dl.dropbox.com/u/21363431/CDR_Win_7.iso 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤    
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Sin041 · Answer

J'ai créé un système de boot par USB  à l'aide de (liens que j'éditerai).
J'ai pu ainsi restaurer mon windows d'il y a quelques jours et passer au-delà du reboot infini.

Cela dit j'ai toujours ce problèmes de redirections publicitaires et :
game.exe - Erreur système
Le nombre maximal de clés secrètes pouvant être stockées sur le système a été dépassé. la longueur et le nombre de ces clés sont limités conformément aux restrictions d'exploration américaines.

Soulagé déjà de le revoir en marche, je reprendrai mes recherches un peu plus tard dans l'après-midi.

Malware, clés stockées, moteur de recherches

27 réponses

Discussions similaires