Redirection des liens de google

Zoolou -  
 Utilisateur anonyme -
Bonjour,

Depuis deux jours, j'ai ce fameux problème d'être redirigé vers des liens commerciaux lorsque je clique sur un résultat de recherche google (Dans mon cas je suis redirigé vers 100ksearches.com, puis un site plus ou moins aléatoire).
J'utilise exclusivement google chrome, et je n'ai pas encore essayé avec firefox.

J'ai depuis téléchargé Malwarebyte' Anti-malware, et supprimé un fichier infecté (je ne retrouve plus quel fichier exactement).

Depuis cette suppression j'ai l'erreur suivante au démarrage de Windows, de la part de Daemon Tools (donc pas bien gênant, mais pas rassurant) :
"Ce programme nécessite au moins Windows200 avec SPTD 1.60 ou plus récent. 
Le debugger Kernel doit être désactivé."


Ce logiciel (Malwarebyte'...) me protège maintenant de la redirection, mais j'obtiens alors une page blanche au lieu de la page publicitaire, ou du site vers lequel je souhaite me rendre.
Voici le log de ce dernier :
"14:38:07 isen IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49760, Process: csrss.exe)", le port changeant à chaque fois.

J'ai parcouru quelques posts traitant de ce problème, et il semble qu'il doive être résolu plus ou moins au cas par cas...

Ce que j'ai déjà fait :
- Analyse avec BitDefender : Aucun fichier suspect
- Analyse avec Malwarebyte' Anti-malware : Aucun fichier suspect depuis celui précédemment cité (et le problème persiste depuis sa suppression)
- Analyse avec TDSSKiller : log : http://www.cijoint.fr/cjlink.php?file=cj201107/cijbb8bNnt.txt
- CCleaner : nombreuses erreurs réparées, mais toujours le même problème ...
- Ad-Remover : Aucun fichier trouvé.

Voici mon rapport Hijackthis : http://www.cijoint.fr/cjlink.php?file=cj201107/cijaHVGKSp.txt

J'espère ne pas avoir fait de bêtise en tentant de réparer le problème ...

J'attend votre aide, merci d'avance !

Edit : J'oubliais : le rapport de Ad-remover : http://www.cijoint.fr/cjlink.php?file=cj201107/cijVZhc3yU.txt

37 réponses

  • 1
  • 2
Résumé de la discussion

Des redirections des résultats Google vers des liens commerciaux, accessibles après une infection, semblent liées à un rootkit TDSS et à des variantes d’outils de détection et de suppression.
Plusieurs réponses recommandent des outils spécialisés comme TDSSKiller, ComboFix ou ZHPDiag/ZHPFix pour diagnostiquer et nettoyer le système, en complément d’analyses antivirus et de nettoyage des éléments d’extension indésirables.
Des indices supplémentaires indiquent que les symptômes peuvent persister après le nettoyage, notamment des messages système et des dysfonctionnements d'applications, montrant que l’élimination d’un rootkit TDSS peut nécessiter plusieurs outils et redémarrages.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. GeFF91
     
    Salut ! As-tu essayé de faire clic droit sur le sujet et ouvrir dans ou nouvel onglet ou dans une nouvelle fenêtre ?
    J'avais le même problème et moi quand je fais ça , ça m'ouvre la page que je veux :) !
    0
  2. Utilisateur anonyme
     
    Bonjour
    Depuis cette suppression j'ai l'erreur suivante au démarrage de Windows, de la part de Daemon Tools (donc pas bien gênant, mais pas rassurant) : 


    Normal tu as supprimé le driver du logiciel Daemon avec TDSS Killer

    * Télécharge ZHPDiag (de Nicolas Coolman)
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
    ftp://zebulon.fr/ZHPDiag2.exe

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Surtout, n'oublie pas d'installer son icône sur le bureau
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Héberge le rapport ICI
    0
  3. Zoolou
     
    Merci pour l'idée, mais je cherche à corriger le problème, pas à le contourner...
    Je peux aussi ouvrir la page voulue en cliquant sur le lien google, puis sur la barre de lien et en faisant "entrée".

    Je n'ai pas vraiment envie de changer ma manière de naviguer sur le web a cause d'un Malware ou autre saloperie du genre ...
    0
    1. Utilisateur anonyme
       
      La procédure que je te propose, c'est pour localiser précisément la présence d'infection
      ZHPDiag va scanner tout le système pour justement localiser les cochonneries
      0
    2. Zoolou
       
      Désolé, je répondais au post de GeFF91, pas au tiens (tu as répondu entre temps il faut croire ^^)
      0
  4. Zoolou
     
    Merci pour l'aide !

    Quand je lance ZHPDiag j'ai ce message d'erreur, puis l'application s'ouvre :
    Unknown file server

    Pendant le diagnostique j'ai eu l'erreur :
    (Titre : nslookup.exe - Ordinal introuvable) L'ordinal 1108 est introuvable dans la bibliothèque de liens dynamiques WSOCK32.dll

    Voici le rapport : http://up.sur-la-toile.com/iQdb
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Tu as des restants d'adwares qu'on va nettoyer
    Télécharge Ad-Remover sur ton bureau:
    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    https://www.androidworld.fr/ ( Miroir )

    /!\ Ferme toutes tes applications ouvertes. /!\

    Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur Nettoyer.
    Laisse travailler l'outil.
    Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
    Il est sauvegardé dans C:\Ad-Remover-CLEAN[1].txt

    0
  7. Zoolou
     
    Nettoyage suivi du reboot recommandé, voila le rapport d'Ad-Remover : http://up.sur-la-toile.com/iQdh
    0
  8. Utilisateur anonyme
     
    Pourrais tu poster ce rapport
    C:\Ad-Report-CLEAN[1].txt
    0
  9. Utilisateur anonyme
     
    Copie les lignes suivantes en gras ci dessous, c'est à dire
    que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
    clic droit dessus>copier

    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}] =>Toolbar.Ask
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}] =>Toolbar.Ask
    [HKLM\Software\Classes\Wow6432Node\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}] =>Adware.Hotbar
    [HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}] =>Adware.Hotbar
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] =>Toolbar.AskTBar
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] =>Toolbar.AskTBar
    [HKLM\Software\Classes\Interface\{4634804a-f0b0-4a74-a550-fc0eef8a4362}] =>Adware.BHO
    [HKLM\Software\Classes\Interface\{4c07ea4f-5f52-4222-b170-4cd9ed33baea}] =>Adware.BHO
    [HKLM\Software\Classes\Interface\{c44feff4-ef0c-4cf7-83d0-92b4266a32b9}] =>Adware.BHO
    [HKLM\Software\Classes\Interface\{f131923c-381d-4e4c-a472-4a17118fd742}] =>Adware.BHO
    C:\Users\isen\AppData\Roaming\cacaoweb =>PUP.CacaoWeb
    C:\Users\isen\AppData\Roaming\teamspeak2 =>Toolbar.Conduit


    * Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
    ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
    tant qu'administrateur
    )
    Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Redémarre ton PC

    Ensuite, poste moi un nouveau rapport ZHPDiag

    Je reviendrai plus tard dans la soirée pour regarder les résultats
    0
  10. Utilisateur anonyme
     
    Adobe n'est pas à jour
    Installe la nouvelle version en cliquant sur ce lien
    https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html
    Prend le temps de lire les instructions, et tu dois refuser
    le complément qu'on te propose
    Ensuite, fait ceci:
    * Lance Adobe Reader
    * Clique sur Edition --> Préférences --> JavaScript
    * Décoche Activer Acrobat JavaScript
    * Valide
    C'est pour désactiver l'interprétation de Javascript dans Adobe,
    car c'est source d'infections, et cela ne sert à rien

    Java n'est pas à jour, désinstalle le
    Télécharge et installe la nouvelle version de Java
    https://java.com/fr/
    Attention, prend le temps de lire les informations,
    décoche la case Yahoo toolbar

    0
  11. Utilisateur anonyme
     
    ll te reste peu d'espace disque, il faut en libérer un peu

    Copie les lignes suivantes en gras ci dessous, c'est à dire
    que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
    clic droit dessus>copier

    [HKLM\Software\Classes\Interface\{4634804a-f0b0-4a74-a550-fc0eef8a4362}] =>Adware.BHO
    [HKLM\Software\Classes\Interface\{4c07ea4f-5f52-4222-b170-4cd9ed33baea}] =>Adware.BHO
    [HKLM\Software\Classes\Interface\{c44feff4-ef0c-4cf7-83d0-92b4266a32b9}] =>Adware.BHO
    [HKLM\Software\Classes\Interface\{f131923c-381d-4e4c-a472-4a17118fd742}] =>Adware.BHO
    O51 - MPSK:{3c84cd3e-0521-11df-8d40-002186680e1a}\AutoRun\command. (...) -- F:\setup.exe (.not file.)
    FirewallRaz
    OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
    OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
    OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\Windows\System32\nwiz.exe
    EmptyTemp
    EmptyFlash
    SysRestore


    * Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
    ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
    tant qu'administrateur
    )
    Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Redémarre ton PC
    0
  12. Utilisateur anonyme
     
    Bonsoir
    Après les déboires du forum, j'espère qu'on va pouvoir continuer, c'est assez
    pénible ces bugs qui étaient dûs à la maintenance du serveur

    ZHPFix a fait du bon boulot

    Pourrais tu me refaire ZHPDiag pour vérification
    0
  13. Utilisateur anonyme
     
    Pourrais tu me faire un export de cette clé de registre
    [HKLM\Software\14919ea49a8f3b4aa3cf1058d9a64cec]

    Tu fais comme ceci
    Touches Windows+R ce qui te permet d'ouvrir Exécuter
    Tape regedit et valide
    Ensuite, parcoure la clé que je t'ai indiqué
    Ensuite >fichier>exporter
    Nomme le fichier Clé.txt et enregistre le sur le bureau
    Héberge ce fichier et donne moi le lien
    0
  14. Zooolou Messages postés 43 Statut Membre
     
    Je viens de me rendre compte que je dois maintenant lancer certaines applications en tant qu'administrateur (notamment pour une update automatique), alors que ce n'était pas le cas avant ... est-ce normal ?

    Comment modifier ça, soit juste pour cette application, soit en général ?
    0
  15. Utilisateur anonyme
     
    Tu as bien été dans la base de registre ?
    0
  • 1
  • 2