Redirection des liens de google Fermé

Question

Bonjour,  

Depuis deux jours, j'ai ce fameux problème d'être redirigé vers des liens commerciaux lorsque je clique sur un résultat de recherche google (Dans mon cas je suis redirigé vers 100ksearches.com, puis un site plus ou moins aléatoire). 
J'utilise exclusivement google chrome, et je n'ai pas encore essayé avec firefox. 

J'ai depuis téléchargé Malwarebyte' Anti-malware, et supprimé un fichier infecté (je ne retrouve plus quel fichier exactement). 

Depuis cette suppression j'ai l'erreur suivante au démarrage de Windows, de la part de Daemon Tools (donc pas bien gênant, mais pas rassurant) :   
"Ce programme nécessite au moins Windows200 avec SPTD 1.60 ou plus récent. 
Le debugger Kernel doit être désactivé."

Ce logiciel (Malwarebyte'...) me protège maintenant de la redirection, mais j'obtiens alors une page blanche au lieu de la page publicitaire, ou du site vers lequel je souhaite me rendre.  
Voici le log de ce dernier :  
"14:38:07 isen IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49760, Process: csrss.exe)", le port changeant à chaque fois. 

J'ai parcouru quelques posts traitant de ce problème, et il semble qu'il doive être résolu plus ou moins au cas par cas... 

Ce que j'ai déjà fait : 
- Analyse avec BitDefender : Aucun fichier suspect 
- Analyse avec Malwarebyte' Anti-malware : Aucun fichier suspect depuis celui précédemment cité (et le problème persiste depuis sa suppression) 
- Analyse avec TDSSKiller : log : http://www.cijoint.fr/cjlink.php?file=cj201107/cijbb8bNnt.txt 
- CCleaner : nombreuses erreurs réparées, mais toujours le même problème ... 
- Ad-Remover : Aucun fichier trouvé. 

Voici mon rapport Hijackthis : http://www.cijoint.fr/cjlink.php?file=cj201107/cijaHVGKSp.txt 

J'espère ne pas avoir fait de bêtise en tentant de réparer le problème ... 

J'attend votre aide, merci d'avance !

Edit : J'oubliais : le rapport de Ad-remover : http://www.cijoint.fr/cjlink.php?file=cj201107/cijVZhc3yU.txt

GeFF91 · Answer

Salut ! As-tu essayé de faire clic droit sur le sujet et ouvrir dans ou nouvel onglet ou dans une nouvelle fenêtre ? 
J'avais le même problème et moi quand je fais ça , ça m'ouvre la page que je veux :) !

Utilisateur anonyme · Answer

Bonjour
Depuis cette suppression j'ai l'erreur suivante au démarrage de Windows, de la part de Daemon Tools (donc pas bien gênant, mais pas rassurant) : 

Normal tu as supprimé le driver du logiciel Daemon avec TDSS Killer

* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

Zoolou · Answer

Merci pour l'idée, mais je cherche à corriger le problème, pas à le contourner...
Je peux aussi ouvrir la page voulue en cliquant sur le lien google, puis sur la barre de lien et en faisant "entrée".

Je n'ai pas vraiment envie de changer ma manière de naviguer sur le web a cause d'un Malware ou autre saloperie du genre ...

Zoolou · Answer

Merci pour l'aide !

Quand je lance ZHPDiag j'ai ce message d'erreur, puis l'application s'ouvre : 
Unknown file server

Pendant le diagnostique j'ai eu l'erreur :
(Titre : nslookup.exe - Ordinal introuvable) L'ordinal 1108 est introuvable dans la bibliothèque de liens dynamiques WSOCK32.dll

Voici le rapport : http://up.sur-la-toile.com/iQdb

Utilisateur anonyme · Answer

Tu as des restants d'adwares qu'on va nettoyer
Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html    ( Lien officiel )
https://www.androidworld.fr/ ( Miroir )

/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur Nettoyer.
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans C:\Ad-Remover-CLEAN[1].txt

Zoolou · Answer

Nettoyage suivi du reboot recommandé, voila le rapport d'Ad-Remover : http://up.sur-la-toile.com/iQdh

Utilisateur anonyme · Answer

Pourrais tu poster ce rapport 
C:\Ad-Report-CLEAN[1].txt

Zooolou · Answer

Biensur : https://www.luanagames.com/index.fr.html

Désolé, je l'avais ajouté en Edit dans le premier post...

Utilisateur anonyme · Answer

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}]   =>Toolbar.Ask
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}]   =>Toolbar.Ask
[HKLM\Software\Classes\Wow6432Node\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]   =>Adware.Hotbar
[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]   =>Adware.Hotbar
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]   =>Toolbar.AskTBar
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]   =>Toolbar.AskTBar
[HKLM\Software\Classes\Interface\{4634804a-f0b0-4a74-a550-fc0eef8a4362}]   =>Adware.BHO
[HKLM\Software\Classes\Interface\{4c07ea4f-5f52-4222-b170-4cd9ed33baea}]   =>Adware.BHO
[HKLM\Software\Classes\Interface\{c44feff4-ef0c-4cf7-83d0-92b4266a32b9}]   =>Adware.BHO
[HKLM\Software\Classes\Interface\{f131923c-381d-4e4c-a472-4a17118fd742}]   =>Adware.BHO
C:\Users\isen\AppData\Roaming\cacaoweb   =>PUP.CacaoWeb
C:\Users\isen\AppData\Roaming	eamspeak2   =>Toolbar.Conduit


* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag

Je reviendrai plus tard dans la soirée pour regarder les résultats

Zooolou · Answer

C'est fait. Rapport du ZHPFix : https://www.luanagames.com/index.fr.html 

Edit : Et voici le nouveau ZHPDiag : https://www.luanagames.com/index.fr.html

Utilisateur anonyme · Answer

Adobe n'est pas à jour
Installe la nouvelle version en cliquant sur ce lien
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html
Prend le temps de lire les instructions, et tu dois refuser
le complément qu'on te propose
Ensuite, fait ceci:
* Lance Adobe Reader
* Clique sur Edition --> Préférences --> JavaScript
* Décoche Activer Acrobat JavaScript
* Valide
C'est pour désactiver l'interprétation de Javascript dans Adobe,
car c'est source d'infections, et cela ne sert à rien


Java n'est pas à jour, désinstalle le
Télécharge et installe la nouvelle version de Java
https://java.com/fr/
Attention, prend le temps de lire les informations,
décoche la case Yahoo toolbar

Zooolou · Answer

C'est fait, adobe et java sont à jour. (Enfin normalement ^^)

Voici un nouveau ZHPDiag au cas ou : 
https://www.luanagames.com/index.fr.html

Utilisateur anonyme · Answer

ll te reste peu d'espace disque, il faut en libérer un peu


Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

[HKLM\Software\Classes\Interface\{4634804a-f0b0-4a74-a550-fc0eef8a4362}]   =>Adware.BHO
[HKLM\Software\Classes\Interface\{4c07ea4f-5f52-4222-b170-4cd9ed33baea}]   =>Adware.BHO
[HKLM\Software\Classes\Interface\{c44feff4-ef0c-4cf7-83d0-92b4266a32b9}]   =>Adware.BHO
[HKLM\Software\Classes\Interface\{f131923c-381d-4e4c-a472-4a17118fd742}]   =>Adware.BHO
O51 - MPSK:{3c84cd3e-0521-11df-8d40-002186680e1a}\AutoRun\command. (...) -- F:\setup.exe (.not file.)
FirewallRaz
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe 
OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe 
OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\Windows\System32
wiz.exe 
EmptyTemp
EmptyFlash
SysRestore

* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Redémarre ton PC

Zooolou · Answer

Bon, depuis le temps, c'est fait, voici le rapport :

https://www.luanagames.com/index.fr.html

Utilisateur anonyme · Answer

Bonsoir
Après les déboires du forum, j'espère qu'on va pouvoir continuer, c'est assez
pénible ces bugs qui étaient dûs à la maintenance du serveur

ZHPFix a fait du bon boulot

Pourrais tu me refaire ZHPDiag pour vérification

Zooolou · Answer

Le voici : https://www.luanagames.com/index.fr.html
J'ai fait un peu de place depuis ...

J'espère aussi que ça va mieux se passer du côté du forum ...

Utilisateur anonyme · Answer

Pourrais tu me faire un export de cette clé de registre
[HKLM\Software\14919ea49a8f3b4aa3cf1058d9a64cec]

Tu fais comme ceci
Touches Windows+R ce qui te permet d'ouvrir Exécuter
Tape regedit et valide
Ensuite, parcoure la clé que je t'ai indiqué
Ensuite >fichier>exporter
Nomme le fichier Clé.txt et enregistre le sur le bureau
Héberge ce fichier et donne moi le lien

Zooolou · Answer

La voila : https://www.luanagames.com/index.fr.html

Zooolou · Answer

Je viens de me rendre compte que je dois maintenant lancer certaines applications en tant qu'administrateur (notamment pour une update automatique), alors que ce n'était pas le cas avant ... est-ce normal ?

Comment modifier ça, soit juste pour cette application, soit en général ?

Utilisateur anonyme · Answer

Tu as bien été dans la base de registre ?

Zooolou · Answer

Je suppose, j'ai lancé regedit, puis recherché la clef que tu demandais en faisant edition->rechercher, puis je l'ai enregistré en txt

Zooolou · Answer

Cette fois ci le fichier est encore plus vide ... : https://www.luanagames.com/index.fr.html

Petit screenshot histoire d'être sur : https://www.luanagames.com/index.fr.html
La premiere fois j'avais cliqué sur la clef dans le fenêtre de droite avant d'exporter

Zooolou · Answer

Je continuerais demain dans la matinée ... merci pour ta patience !

Zooolou · Answer

Quelque chose ne va pas avec cette clef, ou alors je l'ai mal importé ?

Zooolou · Answer

Voilà le rapport : https://www.luanagames.com/index.fr.html

Chose bizarre, quand j'ai voulu renommer le .txt en .reg, le fichier a "fusionné" avec un raccourci d'une application, ou du moins le fichier a disparu et le raccourci a changé de place sur le bureau ... m'enfin en recommençant tout c'est bien passé ...

Zooolou · Answer

J'ai décoché "masquer les fichiers protégés..."
(j'avais déjà décoché les deux autres options volontairement)

Le fichier n'apparaît toujours pas dans le dossier (mais je vois bel et bien les autres fichiers .sys, et les fichiers system du bureau par exemple)
J'ai effectué une recherche dans le dossier drivers : rien
Idem dans le dossier system32 : rien
Idem dans windows, et rien non plus ...

Utilisateur anonyme · Answer

C'est bon, je voulais vérifier que ce fichier n'y était plus
J'espère que tu as fait la procédure pour recacher les fichiers et dossiers

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

O4 - Global Startup: C:\Users\isen\Desktop\CDCE62005.jar - Raccourci.lnk . (...)  -- C:\Program Files (x86)\Texas Instruments\CDCE62005_v1-4-2_Installer\CDCE62005.jar (.not file.)    => Fichier absent
O4 - Global Startup: C:\Users\isen\Desktop\Launcher.exe - Raccourci.lnk . (...)  -- G:\Jeux\Wow 25 mars 2011\World of Warcraft\Launcher.exe (.not file.)    => Fichier absent
O4 - Global Startup: C:\Users\isen\Desktop\Souris - Raccourci.lnk - Clé orpheline    => Orphean Key not necessary
O43 - CFD: 04/05/2011 - 20:12:04 - [0] ----D- C:\Users\isen\AppData\Local\._Revolution_    => Empty Folder not necessary
O43 - CFD: 27/07/2011 - 11:53:42 - [0] ----D- C:\Users\isen\AppData\Local\CutePDF Writer    => Empty Folder not necessary
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\40560159.sys . (...) -- C:\Windows\System32\Drivers\40560159.sys (.not file.)    => Fichier absent
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\40560159.sys . (...) -- C:\Windows\System32\Drivers\40560159.sys (.not file.)    => Fichier absent
O87 - FAEL: "TCP Query User{604A3E87-315E-4F6E-93AB-463ECC57A4B2}C:\users\isen\downloads	inyumbrella-5.00.03.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\isen\downloads	inyumbrella-5.00.03.exe (.not file.)    => Fichier absent
O87 - FAEL: "UDP Query User{52B2100A-27B3-4083-A8B8-E7C377D41CDD}C:\users\isen\downloads	inyumbrella-5.00.03.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\isen\downloads	inyumbrella-5.00.03.exe (.not file.)    => Fichier absent
[HKCU\Software\Totem]  

* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Redémarre ton PC

Zooolou · Answer

Oui j'ai bien recaché les fichier system.
Je fais tout ça de suite

Zooolou · Answer

Voili voilou : https://www.luanagames.com/index.fr.html
Désolé pour le temps d'attente, c'est toujours la galère pour obtenir l'accès à internet

Zooolou · Answer

Non, j'ai toujours les redirections de liens sur google, et également le message d'erreur de daemon tools au démarrage, mais je suppose que ce dernier devrais pouvoir être résolu en réinstallant daemon tools.

fandefoot · Answer

Redirection Google , c'est un classique => Rootkit TDSS.

Zooolou · Answer

Merci pour l'info, j'ai trouvé quelques infos pour s'en débarrasser, je teste ça et je vous transmet le résultat.

Infos ici : https://www.commentcamarche.net/faq/18103-supprimer-le-rootkit-w32-tdss-alureon

Ou encore plus générales : https://www.commentcamarche.net/faq/14963-supprimer-les-rootkits

Je ne sais pas a quel point on peut s'y fier par contre, le deuxième lien propose de de supprimer les services cachés, à l'aide de gmer, mais si je supprime svchost.exe par exemple je risque d'avoir des soucis non ? 

En tout cas gmer détecte bel et bien un rootkit

Zooolou · Answer

Autre chose dont je viens de me rendre compte (je ne sais pas si ça peut influencer le problème en cours) 

J'ai Avira d'installé depuis quelques mois, mais celui-ci ne démarre plus depuis plusieurs mois également. 
Quand j'essaie de le lancer j'ai le message suivant :  
"L'application n'a pas pu démarrer car sa configuration côte-à-côte est incorrecte." 
Et il m'invite à consulter le journal d'applications de windows. 

J'ai vu que ça pouvais être lié au manque de Visual C++, mais j'ai la version 2008 d'installée (version 9.0.30729) et la version 2010, version 10.0.30319 

J'ai tenté de le virer à l'aide du gestionnaire de programmes windows, mais même message d'erreur. J'ai également tenté avec AppRemover, qui le détecte bien, arrive au bout sans problème, mais le programme est toujours présent... 

Il n'y a pas de problème qu'il interfère avec Bitdefender dans cet état là au moins ?

Zooolou · Answer

J'ai repassé un coup de TDSSKiller avec la dernière update, et toujours rien

Zooolou · Answer

Bonjour bonjour, 
J'ai passé ce coup de combofix, et bonne nouvelle, je ne suis plus redrigé, donc le problème semble résolu ! 

Voici le rapport : https://www.luanagames.com/index.fr.html

Je peux également passer en mode veille sans problème, chose qui devenait de plus en plus rare depuis quelques jours seulement, et que je n'avais pas précisé ...
(quand je tentais de passer en veille, l'écran s'éteignait, puis le pc s'arrétait au bout de 5-10 min, sans être en veille. Quand je l'éteignait, il bloquait à l'écran "Arrêt en cours". Parfois ça marchait, parfois non ...)

Je te préviens si j'ai le moindre problème.

Zooolou · Answer

C'est déjà ça...
Mais si je comptais formater je ne serais pas venu ici pour trouver une autre solution moins radicale...

Zooolou · Answer

Bonne nouvelle : J'ai fait un scan avec Kaspersky virus removal tool   
-> il m'a détecté consrv.dll, et desktop.ini ( ce dernier dans le dossier windows\assembly\GAC_32 )  
il les a supprimés au reboot, et magique, la clef du registre correspondant à consrv était rétablie à la valeur winsrv  

Pour parvenir à ça j'ai d'abord lancé un scan automatique qui a fini par planter ...  
Après un reboot j'ai pu cliquer sur le bouton rouge de l'outil kaspersky, puis cliquer sur "tout neutraliser".  

Il suffit ensuite de lui demander de réparer (quand l'option est disponnible) puis supprimer quand la réparation échoue, et le laisser rebooter gentillement ... 

(Et je n'ai biensur plus les redirections de google ;) )
Lien pour ce soft : https://www.kaspersky.com/downloads/thank-you/free-virus-removal-tool?form=1