Redirection vers pub + antivirus désactivé

Fermé
nk- - 23 juil. 2011 à 09:10
 nk- - 24 juil. 2011 à 00:31
Bonjour,

Depuis quelques jours, mes recherches Google (navigateur Chrome ou IE) sont redirigées vers des sites publicitaires, et en prime le "service Centre de Sécurité Windows" a été désactivé.
Je précise que j'ai déjà demandé une aide précédemment, mais malheureusement sans succès. J'espère que quelqu'un ici aura une solution ou une idée.
.
Concrètement:

- Google: je lance une recherche, je clique sur un lien, et je suis redirigé vers des sites style 'spamfighter.com' ou 'liutilities.com' via un passage éclair sur des pages comme 'search.bpath', 'secure.bidvertiser', 'filter.adsimilate'.
.
-impossible d'activer manuellement ou même d'ouvrir Microsoft Security Essentials. (En attendant, j'ai installé AVG- qui semble fonctionner normalement mais ne trouve pas d'infection).
.
-J'ai fait: un scan Malwarebytes qui a supprimé quelques infections. Un scan RogueKiller que l'on m'avait conseillé, et qui a supprimé 2 éléments du registre. Un tas d'autres scans(antivir, ad-aware, ad-remover, tdss killer) qui n'ont rien trouvé / rien supprimé.
.
-Je joins: les logs ZHPdiag et Malwarebyte actuels, ET les logs des premiers scans Malwarebytes et Roguekiller qui ont donné un résultat, histoire d'avoir une idée de la source du problème et de ce qu'il peut en rester.
.

Merci d'avoir jeté un oeil à mon problème, et merci d'avance pour vos conseils.
.
ZHPdiag (23/07)
http://www.cijoint.fr/cjlink.php?file=cj201107/cij1wqOIDY.txt

Malwarebytes (23/07)
http://www.cijoint.fr/cjlink.php?file=cj201107/cijN1sHB0s.txt

Malwarebytes (19/07)
http://www.cijoint.fr/cjlink.php?file=cj201107/cijlsFUE4B.txt

RK (20/07)
http://www.cijoint.fr/cjlink.php?file=cj201107/cij5uBtmG2.txt
A voir également:

9 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juil. 2011 à 10:48
Salut,

Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement surtout en respectant l'ordre des étapes et attendre d'avoir fini chaque étape pour passer à la suivante.
Bien poster les rapports comme demandés afin de pouvoir les analyser.


ETAPE 1 :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.

ETAPE 2 :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
0
Hello,
Merci pour le coup de main!
Le rapport TDSS:
http://pjjoint.malekal.com/files.php?id=0c06e7187dn12s14w13v6g13u6g13f15c5z11y135
Et les deux OTL:
http://pjjoint.malekal.com/files.php?id=3387aaf68ch8r10c13o7r10b8i9v10b6z9s12p11
http://pjjoint.malekal.com/files.php?id=6cb63f8fdes7o13m12x15z6x6n59o13g13u910
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juil. 2011 à 12:27
Tu as encore des soucis de redirection ?
0
Oui, malheureusement pas de différence :(
(J'ai seulement fait "analyse", pas de "correction". Juste ?)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juil. 2011 à 12:55
Non pas de correction.

Pour voir :
Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur « Download EXE » et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet « rootkit »
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur « Copy »

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
0
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-07-23 13:22:09
Windows 6.1.7601 Service Pack 1
Running: b90r9y2q.exe


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x68 0x01 0xF1 0x26 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xFB 0xBF 0xCF 0x25 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x00 0x28 0x6F 0x94 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x68 0x01 0xF1 0x26 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xFB 0xBF 0xCF 0x25 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x00 0x28 0x6F 0x94 ...

---- Files - GMER 1.0.15 ----

File C:\Users\Nik\AppData\Local\{24722E34-EAF0-4BD6-BAB1-7BBF6B411AFD} 0 bytes

---- EOF - GMER 1.0.15 ----
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juil. 2011 à 14:28
hum....
Dans l'onglet Scann Rootkit de GMER, à droite, tu as plein de trucs grisés non ?
(device, sections etc)
que genre File et Registry qui sont accessibles ?

Si tu clics sur l'onglet Processus, GMER se ferme ?
0
Effectivement, seuls Services, Registry et Files sont accessibles dans l'onglet Rootkit/Malware
Par contre, je peux cliquer sur l'onglet Processes, ça reste ouvert.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juil. 2011 à 15:06
OK donc le scan GMER n'a servi à rien.

Ca dit quoi ces deux là ? :
https://forum.malekal.com/viewtopic.php?t=33630&start=
https://forum.malekal.com/viewtopic.php?t=31619&start=

D'autre part, ton antivirus qui fonctionne pas, tu avais une erreur à l'execution style "Accès refusé" ?
0
Alors, le symantec: "no infections were found".
L'avast -juste l'option "Scan" (option par défaut 'quickscan'), pas cliqué sur "FixMBR", dis moi s'il faut le faire aussi):

aswMBR version 0.9.8.977 Copyright(c) 2011 AVAST Software
Run date: 2011-07-23 15:18:29
-----------------------------
15:18:29.134 OS Version: Windows x64 6.1.7601 Service Pack 1
15:18:29.134 Number of processors: 8 586 0x1A05
15:18:29.134 ComputerName: NIK-PC UserName: Nik
15:18:29.642 Initialize success
15:19:07.064 AVAST engine defs: 11072301
15:19:40.596 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
15:19:40.598 Disk 0 Vendor: SAMSUNG_HD103SJ 1AJ100E4 Size: 953869MB BusType: 3
15:19:40.608 Disk 0 MBR read successfully
15:19:40.610 Disk 0 MBR scan
15:19:40.614 Disk 0 Windows 7 default MBR code
15:19:40.617 Service scanning
15:19:42.086 Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
15:19:42.649 Modules scanning
15:19:42.652 Disk 0 trace - called modules:
15:19:42.656 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa80062152c0]<<
15:19:42.660 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80065bd790]
15:19:42.664 3 CLASSPNP.SYS[fffff88001b7a43f] -> nt!IofCallDriver -> [0xfffffa800637b520]
15:19:42.669 5 ACPI.sys[fffff8800100b7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0xfffffa8006377680]
15:19:42.674 \Driver\atapi[0xfffffa8006348c50] -> IRP_MJ_CREATE -> 0xfffffa80062152c0
15:19:43.172 AVAST engine scan C:\Windows
15:19:44.451 AVAST engine scan C:\Windows\system32
15:20:41.359 AVAST engine scan C:\Windows\system32\drivers
15:20:46.484 AVAST engine scan C:\Users\Nik
15:22:05.085 AVAST engine scan C:\ProgramData
15:22:14.784 Scan finished successfully
15:23:19.906 Disk 0 MBR has been saved successfully to "C:\Users\Nik\Desktop\MBR.dat"
15:23:19.909 The log file has been saved successfully to "C:\Users\Nik\Desktop\aswMBR.txt"
-----------------

Pour l'antivirus:

Dans la partie "résoudre les problèmes d'ordinateur: 1 message important...", je clique sur "activer le service centre de sécurité de windows"

--> message d'erreur: "impossible de démarrer le service centre de sécurité windows"

Pour essayer d'activer autrement, j'exécute 'services.msc'. Là, 'Centre de sécurité' -> Propriétés. Le 'type de démarrage' est sur 'Désactivé'. Je choisis 'automatique (début différé)' -> Appliquer - Démarrer.

-->soit fenêtre "Erreur 1058: Le service ne peut pas être démarré parce qu'il est désactivé ou qu'aucun périphérique ne lui est associé."

--> soit message en bas a droite de l'écran "le service centre de sécurité est désactive, cliquez ici pour activer". Je clique, le programme s'ouvre une fraction de seconde, juste le temps d'apercevoir toutes les fonctions en rouge, puis se referme directement.

Le 'type de démarrage' se remet toujours sur "désactivé".

Pareil quand j'essaye d'ouvrir le programme directement. L'écran apparait une fraction de seconde, et se referme.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juil. 2011 à 15:48
OK.
Tu as essaye de le désinstaller et le réinstaller ?

Scanne le MBR.dat qui se trouve sur ton bureau sur https://www.virustotal.com/gui/
pour voir.
0
J'ai désinstallé et réinstallé plusieurs fois. L'installation se passe normalement, mais le résultat est le même.

Pour le scan Virustotal de MBR.dat, rien à priori. Je colle quand même l'info:
Antivirus Version Last Update Result
AhnLab-V3 2011.07.23.00 2011.07.22 -
AntiVir 7.11.12.64 2011.07.22 -
Antiy-AVL 2.0.3.7 2011.07.23 -
Avast 4.8.1351.0 2011.07.23 -
Avast5 5.0.677.0 2011.07.23 -
AVG 10.0.0.1190 2011.07.23 -
BitDefender 7.2 2011.07.23 -
CAT-QuickHeal 11.00 2011.07.23 -
ClamAV 0.97.0.0 2011.07.23 -
Commtouch 5.3.2.6 2011.07.23 -
Comodo 9476 2011.07.23 -
DrWeb 5.0.2.03300 2011.07.23 -
Emsisoft 5.1.0.8 2011.07.23 -
eSafe 7.0.17.0 2011.07.21 -
eTrust-Vet 36.1.8459 2011.07.22 -
F-Prot 4.6.2.117 2011.07.22 -
F-Secure 9.0.16440.0 2011.07.23 -
Fortinet 4.2.257.0 2011.07.23 -
GData 22 2011.07.23 -
Ikarus T3.1.1.104.0 2011.07.23 -
Jiangmin 13.0.900 2011.07.22 -
K7AntiVirus 9.108.4937 2011.07.22 -
Kaspersky 9.0.0.837 2011.07.23 -
McAfee 5.400.0.1158 2011.07.23 -
McAfee-GW-Edition 2010.1D 2011.07.23 -
Microsoft 1.7104 2011.07.23 -
NOD32 6318 2011.07.23 -
Norman 6.07.10 2011.07.23 -
nProtect 2011-07-23.01 2011.07.23 -
Panda 10.0.3.5 2011.07.22 -
PCTools 8.0.0.5 2011.07.23 -
Prevx 3.0 2011.07.23 -
Rising 23.67.04.03 2011.07.22 -
Sophos 4.67.0 2011.07.23 -
SUPERAntiSpyware 4.40.0.1006 2011.07.23 -
Symantec 20111.1.0.186 2011.07.23 -
TheHacker 6.7.0.1.260 2011.07.22 -
TrendMicro 9.200.0.1012 2011.07.23 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.23 -
VBA32 3.12.16.4 2011.07.22 -
VIPRE 9940 2011.07.23 -
ViRobot 2011.7.23.4585 2011.07.23 -
VirusBuster 14.0.134.1 2011.07.22 -
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juil. 2011 à 16:07
il manque la fin avec le MD5 sur le rapport.

Tu peux passer ce programme pour voir les liens qui sont utilisés pour rediriger sur Google : https://forum.malekal.com/viewtopic.php?t=33301&start=

Ca peux permettre d'identifier l'infection.
0
Voilà la 2e partie du rapport virustotal.. Sorry, je pensais l'avoir inclue.

MD5 : 2eea2fc38807b0ccd3399007a6a1d8e7
SHA1 : 91166b63631c660fd90ffa52c595335d4137e938
SHA256: 1b2ac2963d852b49f8206ce878a15999e923a3fda0843f41575d31442da43aa3
ssdeep: 6:GHcimqQ0hFlc1tWZVLTqvFh226ALwPr0w2ZnRIyFT06pxJtAKCFWHWLLGAKCFWfD:cdm6lc1E
BclMPAlBvyStYcWLTsP
File size : 512 bytes
First seen: 2011-07-23 13:42:19
Last seen : 2011-07-23 13:42:19
TrID:
Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Oups, je crois que t'as peut être bien mis le doigt dessus avec l'historique...
.
Bon, j'ai navigué un peu sur IE, et bizarrement j'ai pas eu de redirection (il y a 2-3 jours quand j'ai testé, il y en avait pourtant aussi).
Par contre, dans mon historique Chrome, j'ai une série d'exemples, avec les sites que je donne dans mon premier message ( 'search.bpath', 'secure.bidvertiser', 'filter.adsimilate'...)... mais chaque fois précédé d'une adresse 'goingonearth'.
.
Et là, d'après ce que je vois sur internet, ça n'a pas l'air d'être pour rigoler.
(Rien que taper le mot complet dans la barre de recherche, et le mot disparait.
.

Aïe. (?)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juil. 2011 à 19:52
Donc pour être sûr, as-tu encore des redirections ?
0
Sur IE j'ai l'impression que non, mais sur Chrome oui. Les redirections sont sporadiques donc difficile à dire si IE est vraiment safe, mais en tout cas en testant en même temps les mêmes recherches sur Chrome et IE, j'ai des redirections sur Chrome et pas sur IE.

Sur chrome par exemple, en tapant "spyware" dans google, je passe rapidement par 3 pages, puis j'arrive sur la page publicitaire (ici, 'groupon').
L'historique donne ça:
----
23:13 spyware - Recherche Google
.
23:13 http://www.goingonearth .com/search.php?q=spyware
.
23:13 http://secure.bidvertiser.com/...
.
23:13 http://search.bpath.com/toolbar/search.dbm?q=spyware&trg=oh%3Df%26f%3Diz%26z%3Dhg%26h%3Dgz%267042%5F144028%3Dwrg%26vizdbkh%3Dnivg%2699281%3Dwrwz%3FpxroXwz%2FveivHwz%2Fnlx%2Ehwzpox%2F%2F%3Akggs
.
23:13 GROUPON
----
.
Je poste un lien avec une capture d'écran de l'historique. J'espère que c'est ok.
http://imageshack.us/photo/my-images/42/captureia.png/

J'le sens pas, moi, ce truc là...
0