Redirection Google

Résolu
crashazerty12 Messages postés 22 Date d'inscription   Statut Membre Dernière intervention   -  
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonsoir à tous.

Ça fait maintenant plus de 3 mois que j'ai un soucis quand je suis sur internet. Lorsque je fais une recherche Google et que je clique sur un résultat de recherche, je suis redirigé vers des pages de pub (e bay, La redoute, et même des fois des pages pornographiques). Pour arriver sur la bonne page, il faut que je revienne en arrière, que je re-clique sur le liens Google etc... ça peut le faire jusqu'à 10 fois pour enfin tomber sur la bonne page...

J'ai fait plusieurs analyses avec mon anti virus (Antivir), CCleaner, anti malwayre... Aucuns résultats anormal :(

J'ai fait aussi des recherches sur internet mais rien ne m'a vraiment étant donné que les solutions étaient basées sur des rapports incompréhensibles...

D'où vient ce virus indétectable par mon anti virus ?

Si vous pouvez m'aider à résoudre ce problème vraiment gênant...

Merci d'avance !





A voir également:

49 réponses

Précédent
Réponse 21 / 49
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonsoir,

* Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Personnalisation, copie-colle le texte en gras ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c


* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le lien pjjoint ici ensuite pour pouvoir être consultés.
0
Réponse 22 / 49
crashazerty12
 
Désolé du retard. Voila le rapport :
http://pjjoint.malekal.com/files.php?id=20121218_e14c15f5f11q8
0
Réponse 23 / 49
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Re,

Je veux l'autre rapport! :-)

@+
0
Réponse 24 / 49
crashazerty12 Messages postés 22 Date d'inscription   Statut Membre Dernière intervention  
 
Je n'ai trouvé que ce rapport... Il se trouve où celui que tu veux ?
0
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonjour,
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
------------------------------------
Si tu ne le trouves refais la procédure d'OTL stp
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 49
crashazerty12
 
Voila :)
http://pjjoint.malekal.com/files.php?id=20121220_u6r9o14h6z15
0
Réponse 26 / 49
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonsoir,
1/
Regarde les extensions de ton navigateur pour voir s'il reste des trucs à supprimer!
Aide : <<< ICI >>> ou encore : <<< ICI >>>

2/
Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:OTL
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 => Google/Seekeen.com or Web Search
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding} CHR - homepage: https://www.google.com/webhp?gws_rd=ssl
CHR - homepage: https://www.google.com/webhp?gws_rd=ssl
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:D20FFA63

:Commands
[purity]
[emptytemp]
[EMPTYFLASH]
[Reboot]




* Clique sur le bouton Correction.
* Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
* Accepte en cliquant sur OK.
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles

3/
Qu'est ce qu'il y'a de nouveau après redémarrage de ton PC ?
Si tu utilises un autre navigateur, as tu de redirection ?
0
Réponse 27 / 49
crashazerty12
 
D'abord joyeux Noël ! :)
Voila le rapport...
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ not found.
Use Chrome's Settings page to change the HomePage.
Use Chrome's Settings page to change the HomePage.
ADS C:\ProgramData\Temp:D20FFA63 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56504 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Mathieu
->Temp folder emptied: 413066 bytes
->Temporary Internet Files folder emptied: 6780336 bytes
->Google Chrome cache emptied: 404484063 bytes
->Flash cache emptied: 8167035 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 28593762 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36049258 bytes
RecycleBin emptied: 4735920 bytes

Total Files Cleaned = 467,00 mb


[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 0 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Mathieu
->Flash cache emptied: 0 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 12252012_193743

Files\Folders moved on Reboot...
C:\Users\Mathieu\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Ensuite rien de nouveau au démarrage du pc ou alors pas assez flagrant pour que je m'en rende compte ^^
Et oui les redirections sont encore la quand j'utilise un autre navigateur (Internet Explorer)
0
Réponse 28 / 49
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonsoir,
1/
* Télécharge OTM (OldTimer) sur ton Bureau

ICI >> OTM (OldTimer)
* Double clic "OTMoveIt3.exe"
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :



:files
c:\windows\AutoKMS
c:\users\Mathieu\AppData\Local\Akamai

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Linkury Chrome Smartbar"=-
"Akamai NetSession Interface"=-

:commands
[emptytemp]



- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

2/
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
* Laisse le prescan se terminer, clique sur Scan
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message

@+
0
Réponse 29 / 49
crashazerty12
 
http://pjjoint.malekal.com/files.php?id=20121226_8w5k811u14 voila le rapport de OTM
Je vais faire avec Rogue Killer maintenant
0
Réponse 30 / 49
crashazerty12
 
Voila le rapport de RogueKiller :
RogueKiller V8.4.1 [Dec 24 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Mathieu [Droits d'admin]
Mode : Recherche -- Date : 26/12/2012 18:07:27

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] notepad.exe -- C:\Windows\notepad.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][SUSP PATH] HKLM\[...]\Wow6432Node\Run : Nuance PDF Reader-reminder ("C:\Program Files (x86)\Nuance\PDF Reader\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\PDF Reader\Ereg\Ereg.ini") -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] d18f9b7112add2dbbfbb3dcd528b6a0a
[BSP] a9a37c4cab0a14b6ffc5eb8d95438a66 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 202291 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 466722816 | Size: 249048 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_26122012_180727.txt >>
RKreport[1]_S_26122012_180727.txt
0
Réponse 31 / 49
crashazerty12
 
Il ne faut pas que je supprime les éléments trouvé ?
0
Réponse 32 / 49
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonsoir,
1/
Oui, relance RogueKiller, choisis "Suppression" puis poste le rapport stp

2/
Lance Malwarebytes, fais la mise à jour, choisis une analyse complète, supprime tout ce qu'il trouve puis poste le rapport stp
0
Réponse 33 / 49
crashazerty12
 
Rapport après suppression de RogueKiller :
RogueKiller V8.4.1 [Dec 24 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Mathieu [Droits d'admin]
Mode : Suppression -- Date : 26/12/2012 18:39:59

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] notepad.exe -- C:\Windows\notepad.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKLM\[...]\Wow6432Node\Run : Nuance PDF Reader-reminder ("C:\Program Files (x86)\Nuance\PDF Reader\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\PDF Reader\Ereg\Ereg.ini") -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] d18f9b7112add2dbbfbb3dcd528b6a0a
[BSP] a9a37c4cab0a14b6ffc5eb8d95438a66 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 202291 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 466722816 | Size: 249048 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: General USB Flash Disk USB Device +++++
--- User ---
[MBR] c1aa5f7b290eebb5a3fd9a93c06ddbf1
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 2160 | Size: 15503 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_D_26122012_183959.txt >>
RKreport[1]_S_26122012_180727.txt ; RKreport[2]_D_26122012_183959.txt
0
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonjour,

Il reste le rapport mbam..

@+
0
Réponse 34 / 49
crashazerty12
 
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Database version: v2012.04.04.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Mathieu :: PC-MATHIEU [administrator]

26/12/2012 18:41:30
mbam-log-2012-12-26 (18-41-30).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 435702
Time elapsed: 1 hour(s), 46 minute(s), 35 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
0
maiden65 Messages postés 483 Date d'inscription   Statut Membre Dernière intervention   83
  
Malwarebytes Anti-Malware 1.61.0.1400  
www.malwarebytes.org  

Database version: v2012.04.04.08

Version et base de signatures pas à jour :-)...donc rapport obsolète

Nouvelle Version : 1.70.0.1100
0
Réponse 35 / 49
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Salut,
1/
Est ce que tu a vérifié les extensions de ton navigateur ?
(ici en 1/)

2/
Comment fonctionne ton ton PC ?

0
Réponse 36 / 49
crashazerty12
 
Il n'y a aucune extension intallée et mon pc tourne bien... A part les redirection il n'y a rien d'anormal...
0
Réponse 37 / 49
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Salut,
J'ai besoin d'un nouveau rapport OTL comme demandé ici : https://forums.commentcamarche.net/forum/affich-26179900-redirection-google?full#22

@+
0
Réponse 38 / 49
crashazerty12
 
Voila :)
http://pjjoint.malekal.com/files.php?id=20121230_t14z12k7k10o8
0
Réponse 39 / 49
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonjour,

Est ce que la redirection se fait sur le même site, si oui le quel ? merci

@+
0
Réponse 40 / 49
crashazerty12
 
Il n'y a pas de site précis. C'est aléatoire
0