Redirection Google, WSCSVC désactivé

Résolu
Neptilo Messages postés 31 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

J'ai été infecté il y a quelques jours par un virus de redirection Google. J'ai bien vu qu'il existait déjà beaucoup de sujets postés là-dessus mais à chaque fois, il ne semble pas y avoir de solution précise, mais plutôt une solution par personne. Et les modérateurs semblent préférer qu'on crée un nouveau sujet plutôt que de poster sur celui d'un autre, même si ça a l'air d'être exactement le même problème.

Bref, les symptômes sont des redirections Google vers des pages publicitaires ou porteuses de virus. Et aussi, le centre de sécurité Windows s'arrête inopinément et définit tout seul son mode de démarrage à "désactivé" au lieu de "automatique".

Au début, j'utilisais l'antivirus AVG, qui ne trouvait rien. Puis en lisant des articles sur le sujet, en installant toutes sortes de programmes d'analyse, j'en suis venu à remplacer AVG par ESET NOD32 qui me signale de temps en temps une infection de rundll32.exe par une variante probable du cheval de troie Win32/Ponmocup.AA qu'il ne peut nettoyer. J'avais essayé TDSSkiller qui ne m'avait rien trouvé, et d'autres programmes. J'ai exécuté plusieurs programmes comme Hijackthis, ComboFix et aswMBR, mais je ne sais pas comment interpréter les logs. Je peux les fournir.

Merci de votre aide.

43 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un virus de redirection Google provoque des redirections vers des pages publicitaires et peut bloquer certains composants système, le Centre de sécurité Windows se mettant parfois en mode démarrage désactivé. Après un démarrage erratique, les outils antivirus initiaux comme AVG ne détectent rien, tandis que ESET NOD32 signale une infection de rundll32.exe liée à une variante du trojan Win32/Ponmocup.AA qu'il ne peut nettoyer. Les tentatives de nettoyage incluent TDSSKiller, HijackThis, ComboFix et aswMBR sans interprétation claire des journaux, et des messages mentionnent des scripts Pre_Scan ou des suppressions de partitions. En réponse, certains participants partagent des résultats positifs avec MalwareBytes qui détecte et met en quarantaine des éléments tels que hijackthis_telechargement_01net.exe et winlogon.exe, sans garantie de solution générale.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut eh bien vas y poste tes rapports via cjoint.com que je matte ça ^^
    0
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Désinstalle RegUtility et Eset online scanner

    ===================================


    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------

    KillAll::

    ClearJavaCache::

    File::

    c:\windows\Tasks\XAHVYURNRW.job
    c:\program files (x86)\RegUtility
    c:\program files\ESET
    C:\windows\SysWow64\QQVistaHelper.dll
    c:\windows\SysWow64\FlashPlayerInstaller.exe
    C:\Users\Vic\AppData\Local\Temp\01net
    C:\ProgramData\Partner

    Registry::

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "TkBellExe"=-
    "QuickTime Task"=-
    "iTunesHelper"=-

    SRPeek::

    C:\Windows\system32\wscsvc.dll

    Driver::

    Partner Service

    RegLock::

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    .::. Contributeur Sécurité .::.
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. Neptilo Messages postés 31 Statut Membre
     
    Mon nouveau log : http://cjoint.com/data/0FBwEAuJOac.htm

    J'ai bien désinstallé RegUtility et Eset au début, mais ComboFix a détecté des outils Eset encore activés. Pourtant je ne trouve plus rien dans mes programmes installés qui ressemble à "Eset", ni dans les processus en cours d'exécution, ni dans les services.
    0
  5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Mmmmh

    Télécharge ici : SystemLook sur ton Bureau :

    - Faire un clic droit sur SystemLook.exe pour le lancer et choisi "Exécuter en tant qu'administrateur".

    - Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :

    :filefind
    wscsvc.dll /MD5


    - Clique sur le bouton Look pour démarrer l'examen.
    - A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

    0
  6. Neptilo Messages postés 31 Statut Membre
     
    SystemLook 30.07.11 by jpshortstuff
    Log created at 18:33 on 28/06/2012 by Vic
    Administrator - Elevation successful

    ========== filefind ==========

    Searching for "wscsvc.dll /MD5 "
    No files found.

    -= EOF =-


    ...ce qui expliquerait déjà une bonne partie de mon problème. ^^
    0
  7. Neptilo Messages postés 31 Statut Membre
     
    Je ne peux pas effectuer de réparation Windows, je ne dispose pas d'un DVD d'installation Windows 7.

    N'y a-t-il pas un moyen de réparer juste wscsvc.dll ?

    Au début je pensais que le SystemLook faisait juste une recherche de l'existence du fichier. Mais le fichier existe bel et bien dans System32. Alors qu'est ce que SystemLook a-t-il fait précisément comme recherche ?
    0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Il cherchais le fichier en question mais avec les MD5 pour moi voir s'ils sont sains ou infectés.

    Refais juste systemlook avec ça ?

    :filefind
    wscsvc.dll
    0
  9. Neptilo Messages postés 31 Statut Membre
     
    SystemLook 30.07.11 by jpshortstuff
    Log created at 22:06 on 28/06/2012 by Vic
    Administrator - Elevation successful

    ========== filefind ==========

    Searching for "wscsvc.dll"
    C:\Windows\System32\wscsvc.dll --a---- 97280 bytes [23:48 13/07/2009] [01:41 14/07/2009] E8B1FE6669397D1772D8196DF0E57A9E
    C:\Windows\SysWOW64\wscsvc.dll --a---- 73728 bytes [18:44 28/06/2012] [18:44 28/06/2012] 6F5D49EFE0E7164E03AE773A3FE25340
    C:\Windows\winsxs\amd64_microsoft-windows-securitycenter-core_31bf3856ad364e35_6.1.7600.16385_none_76354f59cbc9dce8\wscsvc.dll --a---- 97280 bytes [23:48 13/07/2009] [01:41 14/07/2009] E8B1FE6669397D1772D8196DF0E57A9E
    C:\Windows\winsxs\amd64_microsoft-windows-securitycenter-core_31bf3856ad364e35_6.1.7600.16723_none_767435e5cb9af730\wscsvc.dll --a---- 97280 bytes [13:44 12/04/2011] [13:44 12/04/2011] 8F9F3969933C02DA96EB0F84576DB43E
    C:\Windows\winsxs\amd64_microsoft-windows-securitycenter-core_31bf3856ad364e35_6.1.7600.20862_none_76d192b6e4d9ed67\wscsvc.dll --a---- 97280 bytes [13:44 12/04/2011] [13:44 12/04/2011] 34D280957E8681E4BD9492B3F1FC27B9
    C:\Windows\winsxs\amd64_microsoft-windows-securitycenter-core_31bf3856ad364e35_6.1.7601.17514_none_78666321c8b86082\wscsvc.dll --a---- 97280 bytes [23:48 13/07/2009] [01:41 14/07/2009] E8B1FE6669397D1772D8196DF0E57A9E

    -= EOF =-
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    mouahahahaha j'ai fail comme une merde là ^^

    enfonce les touches windows et R

    tape ça dans la boite de dialogue:

    Regsvr32 C:\Windows\System32\wscsvc.dll

    valide
    0
  11. Neptilo Messages postés 31 Statut Membre
     
    Le module a été chargé mais le point d'entrée DllRegisterServer est introuvable.
    Et on me demande de vérifier que wscsvc.dll est valide.
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Attention : cet outil peut etre détecté à tort comme virus

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

    Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan
    0
  13. Neptilo Messages postés 31 Statut Membre
     
    Ok.
    Bon, je verrai ça demain, il commence à y avoir de l'orage, là. hihi
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ok ^^
      0
  14. Neptilo Messages postés 31 Statut Membre
     
    Le scan s'est déroulé correctement. Et le programme ne m'a posé aucune question. Voici le lien du log : https://pjjoint.malekal.com/files.php?id=20120629_f9o10o8b9j9

    Je ne sais pas ce qu'est Defogger et je ne sais pas si Pre_Scan l'a utilisé.
    0
    1. Neptilo Messages postés 31 Statut Membre
       
      Je ne pourrai pas utiliser mon ordinateur ce week-end, donc à lundi !
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ok à lundi :)
      0
  15. g3n-h@ckm@n
     
    salut il faudrait confirmation qu il y ait bien un dual boot avec Linux

    quand à son swap de 2Mo je le trouve relativement petit pour un linux ^^ ca consomme pas beaucoup mais quand meême !! ^^
    0
  16. Neptilo Messages postés 31 Statut Membre
     
    Oui j'ai bien un dual boot avec Linux.
    Que me conseilles-tu comme taille pour le swap alors ?
    D'ailleurs puisqu'on en parle, y a-t-il moyen de réduire la taille de ma partition Windows pour laisser plus de place à Linux ? (Bon ok ce n'est pas du tout le sujet de la discussion.)
    0
  17. g3n-h@ckm@n
     
    oui c'est faisable :)

    en etant bien certain que ce soit ta partition de swap Linux tel que je le pense la troisieme partition...

    2    2    82-LxSwap   2M   No    No   531,533,824        4,096 
    


    perso linux je l'ai installé sur un disque dur externe comme ca quand je vais chez des amis j'utilise pas leur windows ^^

    le swap ? bah 512 Mo ....

    bref revenons à nos moutons

    =================

    mozilla à mettre à jour 13 => 14
    Google Chrome 19 => 20
    desinstalle TENCENT
    desinstalle searchweb
    desinstalle hijackthis
    desinstalle Java 6 Update 24

    =================

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    C:\Windows\Installer\{AB5C933E-5C7D-4D30-B314-9C83A49B94BE}\_4ae13d6c.exe
    C:\Windows\Installer\{B480904D-F73F-4673-B034-8A5F492C9184}\NewShortcut1.D5A09942_925E_44C9_979D_D78D19ABF629.exe


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

    =============

    @: à L'attention de ceux qui utilisent les switchs de Pre_script :
    n'utiliser que les switchs proposés sur la page correspondante :
    https://gen-hackman.kanak.fr/

    ================================

    Clique sur ce lien : https://www.cjoint.com/?BFExNti1nOb

    Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      firefox 13 => 14 ? ^^
      13.0.1 :p
      0
    2. g3n-h@ckm@n
       
      heu il me semble que la 14 est sortie non puisqu'on voit la 15 beta ?
      0
    3. g3n-h@ckm@n
       
      roooohh ah ouais c'est pour android le 14...:S
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      :)
      0
  18. g3n-h@ckm@n
     
    regarde dans tes points de restauration systeme tu en as un du nom de pre_script
    0
    1. Neptilo Messages postés 31 Statut Membre
       
      La restauration système me dit : « La protection du système est désactivée. »
      Pas grave, j'ai réinstallé le logiciel.
      0
  • 1
  • 2
  • 3