Redirection intempestive avec google et ralentissement du pc Fermé

Question

Bonjour, 

Malgré plusieurs antivirus testés en ligne je n'arrive pas à supprimer ce qui fait qu'avec google j'ai systématiquement ou presque des redirections ... genre directagain.net ou autres ... En revanche au bureau quand je passe par un proxy il n'y a aucun soucis ...

Merci pour votre aide.

Max


Configuration: Windows 7 / Internet Explorer 9.0

kalimusic · Answer

Bonjour et Bienvenue sur CCM 

Nous allons utiliser cet outil de diagnostic :

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

bret699 · Answer

Bonsoir,

Merci infiniment pour votre aide sur ce probleme bien ennuyeux !

J'ai mis les deux fichiers comme demandé:

https://security-x.fr/up/file.php?h=R18eba9603cce6ba5b92f9d5f4bb7c99a 

https://security-x.fr/up/file.php?h=R75b808a02d4a71da23067e6030ff0dee 

Merci encore!

Max

kalimusic · Answer

re,

Tu as combien de logiciels de sécurité actifs sur cette machine ?


1. Désinstalle si possible :

SweetIM Bundle by SweetPacks 
Toolbar 4.7 by SweetPacks
Aide : Comment désinstaller un programme

Et aussi Trojan remover

2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.   
&#9656;  Sous XP double-clic sur l'icône pour lancer l'outil. 
&#9656;  Sous Vista/Seven/8  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Ferme impérativement le navigateur ainsi que les applications en cours.
&#x25CF; Clique sur le point d'interrogation ? et coche la case : /DisableProxyDetection
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 


3. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

&#x25CF; Lance TDSSKiller.exe 
&#x25CF; Clique sur  Change parameters  et coche la case Loaded modules
&#x25CF; Un message Reboot is required s'affiche, valide en cliquant sur Reboot now

Le système redémarre, valide cette demande : Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs) pour que l'outil TDSSKiller se relance.

&#x25CF; Clique sur  Change parameters  et coche la case Loaded modules
&#x25CF; Coche dans Additionnal options, les cases :
Verify file digital signatures et Detect TDLFS file system puis valide par OK 
&#x25CF; Clique sur Start scan
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.

&#9656;&#9656; Conserve l'action proposée par défaut par l'outil en cas de détection : 

&#9656; Si des éléments Suspicious object sont trouvés, laisse sur Skip

&#9656; Si des éléments malicieux sont trouvés, tu auras plusieurs options possibles :
Assure toi que Cure est sélectionné, clique sur Continue puis sur Reboot now afin de redémarrer pour finaliser le nettoyage.
Si l'option Cure  n'est pas disponible, laisse Skip, ne pas choisir Delete sans indication de ma part.

Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 


4. Héberge les rapports et poste les liens

A +

bret699 · Answer

Re,

Je ne sais pas pourquoi mais le pc est devenu encore beaucoup plus lent depuis le boot...

Les deux liens ...

https://security-x.fr/up/file.php?h=R6b8bd63b3e816d6f6d65f51d3fc73769 

https://security-x.fr/up/file.php?h=R7e660f0372e0bb24b2dfe5e5e7d73b05 

Merci beaucoup!

Max

kalimusic · Answer

Bonjour,


Merci de préciser les symptômes de redirections, quelque soit le navigateur ?

L'utilisation de proxy me fait penser à une machine d'entreprise, est-ce le cas ?
Quels sont les logiciels de sécurité actifs sur cette machine ? 

1. Télécharge aswMBR sur ton Bureau.

&#x25CF; Lance  aswMBR.exe
&#x25CF; Clique sur le bouton Scan
&#x25CF; Patiente pendant l'analyse
&#x25CF; Clique sur Save log 
&#x25CF; Enregistre le rapport sur le Bureau. 


2. Relance OTL 

&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 


3.  Héberge les rapports et copie/colle les liens dans ton prochain message. 


A +

bret699 · Answer

Bonjour,

Il s'agit bien d'une machine d'entreprise avec un antivirus Trend Micro et un arkoon quand je suis connecté depuis le bureau.

Les redirections sont faites depuis google et quelque soit le navigateur ... souvent www.positive-search.com ...

Hier j'ai testé spyhunter qui a trouvé qqchose du genre ceeInject ? Impossible de l'enlever ...

Les fichiers sont:

https://security-x.fr/up/file.php?h=R7625f50facc861dc4adeba42fd6367da 

https://security-x.fr/up/file.php?h=R18eba9603cce6ba5b92f9d5f4bb7c99a 

Merci beaucoup!

bret699 · Answer

Re;

Voila le fichier 

https://security-x.fr/up/file.php?h=R18eba9603cce6ba5b92f9d5f4bb7c99a

Merci

bret699 · Answer

re

https://pjjoint.malekal.com/files.php?id=20130104_x13z11j5i11o14

merci

kalimusic · Answer

Bonsoir,

== == == == == == == == == == == == == == == == == == == == == ==
Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.
 == == == == == == == == == == == == == == == == == == == == == ==

Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:instructions
:OTL
DRV - File not found [Kernel | On_Demand | Running] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10005&barid={81F3AE04-55E6-11E2-9F17-101F74F775A6} 
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}     
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = https://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={81F3AE04-55E6-11E2-9F17-101F74F775A6}     
IE - HKU\S-1-5-21-1409082233-1644491937-839522115-3692\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10005&barid={81F3AE04-55E6-11E2-9F17-101F74F775A6} 
IE - HKU\S-1-5-21-1409082233-1644491937-839522115-3692\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = https://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={81F3AE04-55E6-11E2-9F17-101F74F775A6}     
FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000.10005&barid={81F3AE04-55E6-11E2-9F17-101F74F775A6}" 
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" 
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" 
FF - prefs.js..keyword.URL: "https://search.sweetim.com/search.asp?src=2&barid={81F3AE04-55E6-11E2-9F17-101F74F775A6}&q=" 
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "" 
[2013/01/03 21:46:26 | 000,190,000 | ---- | M] () (No name found) -- C:\Users\xpinon\AppData\Roaming\mozilla\firefox\profiles\d71ap4qc.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi     
[2013/01/03 21:48:36 | 000,003,998 | ---- | M] () -- C:\Users\xpinon\AppData\Roaming\mozilla\firefox\profiles\d71ap4qc.default\searchplugins\sweetim.xml     
[2013/01/03 21:45:27 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SweetIM     
[2013/01/03 21:45:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\sweetpacks bundle uninstaller 
[2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] 
[1 C:\Users\xpinon\Desktop\*.tmp files -> C:\Users\xpinon\Desktop\*.tmp -> ] 
[597 C:\Users\xpinon\AppData\Local\Temp\*.tmp files -> C:\Users\xpinon\AppData\Local\Temp\*.tmp -> ] 
[1 C:\Users\xpinon\AppData\Local\Temp\HCBackup\*.tmp files -> C:\Users\xpinon\AppData\Local\Temp\HCBackup\*.tmp -> ] 
[1 C:\Users\xpinon\AppData\Local\Temp\HouseCall\*.tmp files -> C:\Users\xpinon\AppData\Local\Temp\HouseCall\*.tmp -> ] 
[2012/12/30 12:08:52 | 000,000,314 | ---- | M] () -- C:\Windows	asks\auybw.job 
[2012/12/04 20:48:26 | 000,000,000 | ---D | M] -- C:\Users\xpinon\AppData\Roaming\pdfforge     
:Files
ipconfig /flushdns /c
:Commands 
[emptytemp]
&#x25CF; Ferme impérativement les applications en cours.
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 


Poste le rapport et indique moi les soucis restants.


A+

bret699 · Answer

Re,

J'ai testé une recherche sur google et le site est^parti sur shootingfiregames.com ce qui n'a rien a voir sur celui sur lequel j'avais cliqué ...

Le lien:

https://pjjoint.malekal.com/files.php?id=20130104_u10d10f7u6q11

Merci

bret699 · Answer

Re

Je viens de tester Chrome et à priori plus de soucis! :)

En revanche avec Interner Explorer c'est toujours présent :(

merci

bret699 · Answer

re

Meme apres la réinitialisation de l'I.E. et après avoir vidé les caches et historiques et cookies, les redirections perdurent sous IE ...

bret699 · Answer

Bonsoir,

Hélas oui même en mode sans échec ... Redirection avec google sous IE.

En revanche sous chrome ... Pas de problème ...

kalimusic · Answer

Bonjour,

Vraiment intéressant et original ton soucis.

Relance OTL 

&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 
&#x25CF;  Héberge le rapport et donne moi le lien.
 
A +

bret699 · Answer

Re,

Je ne sais pas si c'est original mais bien casse-pied!

Ci-joint le fichier:

https://pjjoint.malekal.com/files.php?id=20130108_v11o14k6p5o13

Merci encore!

kalimusic · Answer

Bonjour,

Finalement, je pense que c'est de ma faute, il restait un fichier que je croyais avoir intégrer au premier script OTL et que j'avais oublié.
Le fait que l'infection n'agisse que sur un navigateur ensuite m'a induit en erreur, il y a également quelques autre éléments à supprimer. Voyons si cela résout le problème. 


== == == == == == == == == == == == == == == == == == == == == ==
Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.
 == == == == == == == == == == == == == == == == == == == == == ==

Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:instructions
:OTL
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" 
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""  
[2013/01/03 21:44:40 | 000,000,000 | ---D | C] -- C:\Users\xpinon\AppData\Local\SwvUpdater 
[2013/01/08 22:16:57 | 000,000,360 | ---- | M] () -- C:\Windows	asks\AmiUpdXp.job 
:Files
ipconfig /flushdns /c
:Commands 
[emptytemp]
&#x25CF; Ferme impérativement les applications en cours.
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 

Poste le rapport, A +

bret699 · Answer

Bonsoir

Ca a l'air de fonctionner! Magique !!! Merci beaucoup mais ca venait de quoi? Une possibilité pour éviter ce genre de mésaventure?

Le lien: 
https://pjjoint.malekal.com/files.php?id=20130110_i14x11p14s7b12

Merci encore!!!

kalimusic · Answer

Bonjour,

Le fautif -> AmiUpdXp.job 

Et on avait déjà avant supprimé aussi ce lui là -> auybw.job 

Ils ont pu arriver sur ton système car des logiciels n'ont tenu à jour représentent de failles de sécurité dont profitent les infections (voir procédure ci dessous).

Tu avais aussi des adwares ou logiciels indésirables :
Attention aux conditions d'utilisation et aux cases pré-cochées lors de l'installation d'un logiciel. Refuser les diverses barres d'outils, moteurs de recherches ou add-on proposés.
Prévention, virus & arnaques et dangers d'Internet
PUP / Logiciels potentiellement indésirables


 == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Relance AdwCleaner en tant qu'administrateur
&#x25CF; Clique sur Désinstallation  

2. Lance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

3. Relance OTL 
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau



 == == == == == == == == == MISES A JOUR == == == == == == == == == 

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

 == == == == == == == == == == == == == == == == == == == == == ==


Bonne continuation

bret699 · Answer

Merci infiniment!

Maxime

bret699 · Answer

Ah non j'ai parlé trop vite!

Ca recommence avec IE!!!!!

kalimusic · Answer

Bonjour :))


Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
showhidden
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
%systemroot%\Tasks\*.* /s
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

bret699 · Answer

Bonsoir,

Voici à nouveau les fichiers ... C'est a devenir fou!!!

Merci bcp!

https://pjjoint.malekal.com/files.php?id=20130121_l10b10k6f14z14

kalimusic · Answer

Bonsoir,


== == == == == == == == == == == == == == == == == == == == == ==
Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.
 == == == == == == == == == == == == == == == == == == == == == ==

Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:instructions
:OTL
[2 C:\Program Files (x86)\*.tmp files -> C:\Program Files (x86)\*.tmp -> ]
[2012/08/30 22:37:02 | 000,131,072 | RHS- | C] () -- C:\Windows\SysWow64\openfiless.dll
[2011/09/07 16:11:31 | 000,003,120 | ---- | C] () -- C:\Windows\SysWow64\drivers\wdcciee.sys
[2011/09/07 16:08:09 | 000,003,120 | ---- | C] () -- C:\Windows\SysWow64\drivers\wdcdbhc.sys
[2011/09/07 15:42:05 | 000,003,120 | ---- | C] () -- C:\Windows\SysWow64\drivers\wdccica.sys
:Files
ipconfig /flushdns /c
:Commands 
[emptytemp]
&#x25CF; Ferme impérativement les applications en cours.
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles  


A +

bret699 · Answer

Et voila!

https://pjjoint.malekal.com/files.php?id=20130123_y8z10j13z88

Merci

bret699 · Answer

Ca a l'air de fonctionner ... Une idée du probleme?

kalimusic · Answer

Bonjour,


Sur ton pc une infection supprimée peut en cacher une autre :)

Toujours ok ?


 == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Lance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

2. Relance OTL 
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau


 == == == == == == == == == MISES A JOUR == == == == == == == == == 

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation