Sujet Précédent Sujet Suivant

Probleme redirection pages internet

myogui Messages postés 9 Statut Membre -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,

Voila depuis quelque jours je suis redirigé vers des pages publicitaires lorsque je clique sur les premiers lien dans google.
J'ai fait un scan complet de mon ordinateur avec mon anti-virus bitdefender, mais celui n'a rien trouver. J'ai aussi passer un coup de CCleaner.

Du coup je me suis tourner vers internet et suis tomber sur https://www.commentcamarche.net/faq/6063-page-internet-google-redirigee

Mais la je ne retrouve pas les informations pouvant faire penser à une infection.

Du coup je me tourne vers la communauté, merci à vous.

Je vous met le rapport de hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:02:50, on 15/06/2012
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Logitech Gaming Software\Applets\LCDMedia.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: IESpeakDoc - {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} - C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {7815BE26-237D-41A8-A98F-F7BD75F71086} - C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dll
O9 - Extra 'Tools' menuitem: Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: AtherosSvc - Atheros Commnucations - C:\Program Files (x86)\Bluetooth Suite\adminservice.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files (x86)\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: BitDefender Update Server v2 (Update Server) - BitDefender - C:\Program Files\Common Files\Bitdefender\Bitdefender Arrakis Server\bin\arrakis3.exe
O23 - Service: BitDefender Desktop Update Service (UPDATESRV) - Bitdefender - C:\Program Files\Bitdefender\Bitdefender 2012\updatesrv.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Bitdefender - C:\Program Files\Bitdefender\Bitdefender 2012\vsserv.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
A voir également:

32 réponses

  • 1
  • 2
Réponse 1 / 32
kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
 
Bonjour et Bienvenue sur CCM

Nous allons utiliser cet outil de diagnostic plus complet que HijackThis.

Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe, l'interface principale s'ouvre.
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case Tous les utilisateurs
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
netsvcs 
safebootminimal 
safebootnetwork 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
consrv.dll
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\Tasks\*.* /s
%systemroot%\*. /RP /s
%ProgramFiles%\Common Files\ComObjects\*.* /s
CREATERESTOREPOINT

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

Aide : Tutorial OTL (par Malekal)

A +

0
Réponse 2 / 32
myogui Messages postés 9 Statut Membre
 
Re bonjour,

Voici les liens des rapports :

https://pjjoint.malekal.com/files.php?id=20120615_11g9k9r6x12
https://pjjoint.malekal.com/files.php?id=20120615_z11j8t8y5c5
0
Réponse 3 / 32
kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
 
Tu es infecté par la nouvelle variante du rootkit Sirefef/Zaccess

== == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

== == == == == == == == == == == == == == == == == == == == == ==

Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.

!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)

● Il est possible que l'outil est besoin de redémarrer l'ordinateur.
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.

!! Réactive les protections résidentes de ton PC !!

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

A +
0
Réponse 4 / 32
myogui Messages postés 9 Statut Membre
 
Alors j'ai bien télécharger comboFix directement sur le bureau, mais quand je le lance il me met une erreur :

[URL=http://www.hostingpics.net/viewer.php?id=985798Sanstitre.png][IMG]http://img4.hostingpics.net/pics/985798Sanstitre.png[/IMG][/URL]
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 32
kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
 
Redémarre en mode sans échec et essaye de relancer ComboFix.
Si tu as toujours la même erreur, n'insiste pas, revient sur le forum.

A +
0
Réponse 6 / 32
Myogui
 
Bon combofix c'est lancer en mode sans échec et le pc a redemarré.
Mais la je ne peut quasiment plus rien faire, impossible d'ouvrir le fichier txt ou bien même de lancer internet. J'ai à chaque fois le message :

C:\program files (x86)\[nom application]
Tentative d'opération non autorisée sur une clé registre marquée pour suppression.

Je crois que je vais réinstaller seven ça sera plus simple.

PS: message rédige via mobile.
0
Réponse 7 / 32
kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
 
Redémarre une nouvelle fois pour voir.

A +
0
Réponse 8 / 32
myogui Messages postés 9 Statut Membre
 
Bien vu ça remarche (un peu déçu de pas y avoir penser :s)

https://pjjoint.malekal.com/files.php?id=20120615_s8l12l15l12f13

voila le rapport de combo fix.
0
Réponse 9 / 32
kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
 
L'essentiel est que ComboFix a visiblement presque tout nettoyé.
As tu toujours des redirections ?

A +
0
Réponse 10 / 32
myogui Messages postés 9 Statut Membre
 
Apriori non, plus de redirection. J'ai ouvert plusieurs pages internet à pas de souci.

Encore des choses à faire ? Ou bien comboFix à résolu le problème ?
0
Réponse 11 / 32
kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
 
Normalement oui, on va vérifier :

1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

● Lance TDSSKiller.exe
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
Conserve l'action proposée par défaut par l'outil
▸ Pour "Suspicious object" laisse sur "Skip"
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
Effectue la mise à jour et lance un examen rapide.
Tuto : https://forum.security-x.fr/archives/(tutoriel)-malwarebyte's-anti-malware/?PHPSESSID=bl3ngphatppbfl2g9p5j9fnppb

Poste les 2 rapports

A +
0
Réponse 12 / 32
myogui Messages postés 9 Statut Membre
 
Rapport de tdsskiller :

https://pjjoint.malekal.com/files.php?id=20120615_n10n13p11i8m11

Rapport de MBAM :

https://pjjoint.malekal.com/files.php?id=20120615_s12n8k8e12c13

Il à apriori trouver un objet infecter. Il me propose de le supprimer.
0
Réponse 13 / 32
kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
 
Tu sais à quoi correspond ce fichier que tu as téléchargé ?

A+
0
Réponse 14 / 32
myogui Messages postés 9 Statut Membre
 
Non ça me dit rien.

Il à était modifier la dernière fois le 25/05/2012 et pèse 269Ko.
Mais mes problèmes datent d'il y a 2 jours donc en théorie il était déjà la avant.

Enfin dans le doute on peut le supprimer ça me dérange pas.
0
Réponse 15 / 32
kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
 
On va le supprimer ainsi que 2 dossiers créés par l'infection.

== == == == == == == == == == == == == == == == == == == == == ==

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

== == == == == == == == == == == == == == == == == == == == == ==

Ne pas exécuter OTL dans la sandbox de ton antivirus.

== == == == == == == == == == == == == == == == == == == == == ==

Relance OTL

● Dans la partie "Personnalisation", copie/colle les instructions suivantes : 

:OTL
:Files
C:\Users\Myogui\Downloads\DownloadSetup.exe
c:\windows\Installer\{2a5e7e4c-aaf8-7e2c-f600-7704402d407b}
c:\users\Myogui\AppData\Local\{2a5e7e4c-aaf8-7e2c-f600-7704402d407b}
ipconfig /flushdns /c
:Commands 
[emptytemp]

● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

Poste le rapport, A +
0
Réponse 16 / 32
myogui Messages postés 9 Statut Membre
 
Et voila :

https://pjjoint.malekal.com/files.php?id=20120615_x5f6j7m1215
0
Réponse 17 / 32
kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
 
Parfait,

== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.

2. Lance OTL

● Dans la partie "Personnalisation", copie/colle : 

:commands
[clearallrestorepoints]

● Clique sur le bouton Correction.

3. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau

4. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant

== == == == == == == == MISES A JOUR == == == == == == == ==

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/ ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !!

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

== == == == == == == == == == == == == == == == == == == == == ==

La sécurité de son PC, c'est quoi ? (par Malekal)

== == == == == == == == == == == == == == == == == == == == == ==

Bonne weekend
0
Réponse 18 / 32
Myogui
 
Merci beaucoup de ton aide ^^.

Par contre suite au redémarrage pc à la fin de la desinstallation de OTL mon pc ne reconnaît plus la box, il est bien connecter mais n'arrive pas à l'identifier, du coup je n'ai plus accès à internet :s

J'ai essayé de redémarré le pc mais aucun changement.
0
Réponse 19 / 32
kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
 
Je ne vois pas trop le rapport avec la désinstallation de l'outil.
Tu es connecté en wi-fi ? Si tu fait réparer la connexion, cela donne quoi ?

A +
0
Réponse 20 / 32
Myogui
 
Non je suis connecter par câble, et quand je lance la diagnostic réseau de windowns il me dit que la résolution de problèmes s'est terminée sans détecter de problème.

Par contre j'ai toujours la wifi sur mon téléphone et la télé par câble ethernet via la box.

En regardant sur internet ça pourrais venir de l'absence du fichier driver dans C:\windows\systeme32
0

Discussions similaires

FOTOSE (allemagne)
lix -
Yves -

13 réponses
ATTENTION : escroquerie à la carte bleue !!
dvrg -
dvrg -

80 réponses