Redirection intempestive

Résolu/Fermé
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 - 25 mars 2013 à 13:18
 Utilisateur anonyme - 28 mars 2013 à 18:31
Bonjour,

Depuis quelques jours, lorsque je copie / colle une URL dans mon navigateur IE ou Chrome, je suis automatiquement redirigé vers un site chinois bizarre:
http://www.rujkc.com/u_11997.html
Ce problème n'apparait pas avec Firefox.

J'ai essayé de voir si c'était une infection qui pouvait être nettoyé avec MalwareByte anti malware sans succès. Mon anti virus Microsoft ForeFront Endpoint protection ne détecte rien non plus.

Pouvez m'aider à résoudre ce problème?

Cordialement

Varfendell


16 réponses

Utilisateur anonyme
25 mars 2013 à 13:20
bonjour,

* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista, Seven et W8 :

* Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur le tourne vis, sélectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/ => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers


0
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 703
25 mars 2013 à 14:21
Bonjour,

Merci de ton aide. Ci dessous le lien:

zhpdiag.txt
0
Utilisateur anonyme
25 mars 2013 à 18:20
tu es infecté par cacaoweb !


/!\ Attention :
de plus en plus de programmes proposent l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.

De plus de ceci, évite fortement les sites comme 01@net (en voie de guérison !) et Softonic, les logiciels gratuits et libres sont repackés avec leurs barres d'outils !




? Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner


Lance le,

clique sur rechercher et poste son rapport.

0
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 703
25 mars 2013 à 18:50
Salut,

Voici le rapport:

# AdwCleaner v2.115 - Logfile created 03/25/2013 at 18:48:21
# Updated 17/03/2013 by Xplode
# Operating system : Windows 7 Enterprise Service Pack 1 (64 bits)
# User : fcardot - FCARDOT1L
# Boot Mode : Normal
# Running from : D:\Users\fcardot\Downloads\AdwCleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

File Found : D:\Users\fcardot\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
File Found : D:\Users\fcardot\AppData\Roaming\Microsoft\Windows\Start Menu\QuickStores.url
Folder Found : C:\Program Files (x86)\Mozilla Firefox\Extensions\quickstores@quickstores.de
Folder Found : C:\ProgramData\InstallMate
Folder Found : C:\Windows\assembly\GAC_MSIL\QuickStoresToolbar
Folder Found : D:\Users\fcardot\AppData\Roaming\cacaoweb
Folder Found : D:\Users\fcardot\AppData\Roaming\Mozilla\Firefox\Profiles\wpt0r01o.default\extensions\cacaoweb@cacaoweb.org
Folder Found : D:\Users\fcardot\AppData\Roaming\Mozilla\Firefox\Profiles\wpt0r01o.default\jetpack

***** [Registry] *****

Key Found : HKCU\Software\1ClickDownload
Key Found : HKCU\Software\APN PIP
Key Found : HKCU\Software\cacaoweb
Key Found : HKCU\Software\PIP
Key Found : HKCU\Software\Softonic
Key Found : HKCU\Software\YourFileDownloader
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
Key Found : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
Key Found : HKLM\Software\PIP
Key Found : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Key Found : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Key Found : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Key Found : HKLM\Software\YourFileDownloader
Key Found : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Key Found : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Value Found : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EEE6C35B-6118-11DC-9C72-001320C79847}]
Value Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]
Value Found : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16470

[OK] Registry is clean.

-\\ Mozilla Firefox v19.0.2 (fr)

File : D:\Users\fcardot\AppData\Roaming\Mozilla\Firefox\Profiles\wpt0r01o.default\prefs.js

Found : user_pref("quickstores.toolbar.affid", "2017");
Found : user_pref("quickstores.toolbar.guid", "{D7E12929-C681-6D77-1694-4741ABF0909F}");

-\\ Google Chrome v25.0.1364.172

File : D:\Users\fcardot\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File is clean.

*************************

AdwCleaner[R3].txt - [3043 octets] - [25/03/2013 18:48:21]

########## EOF - D:\AdwCleaner[R3].txt - [3103 octets] ##########

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
25 mars 2013 à 18:59
relance ADWC, clique sur Supprimer,

poste son rapport après le redémarrage du pc



0
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 703
25 mars 2013 à 19:10
PC redémarré après le nettoyage.

Voici le rapport:

Rapport
0
Utilisateur anonyme
25 mars 2013 à 19:12
tu n'as pas lancé la suppression avec ADWC ?

je voulais le rapport de suppression d'ADWC, pas un zhpdiag :P


0
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 703
25 mars 2013 à 19:15
Désolé, trompé de fichier...
Juste...je ne le trouve pas, il se nomme comment? ou bien se trouve ou?
0
Utilisateur anonyme
25 mars 2013 à 20:00
il se trouve là :

D:\AdwCleaner[S4].txt
0
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 703
25 mars 2013 à 20:02
0
Utilisateur anonyme
25 mars 2013 à 20:25
super,

relance ADWC, clique sur désinstaller,


remets moi un nouveau rapport de zhpdiag via Cjoint s'il te plait

je m'absente, @ +

0
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 703
26 mars 2013 à 10:49
Rapport ZHP

Le problème était toujours présent, toujours sur IE et chrome (mais seulement avec des noms de domaines que j'ai mis en dure dans mon fichier host pour chrome)

Du coup je me suis souvenue avoir récemment ajouté un proxy dans mes options IE, et en le désactivant le problème est résolu :)

Merci de ton aide.

Varfendell
0
Utilisateur anonyme
26 mars 2013 à 18:08
il va falloir faire de la place sur la partition système pour que Windows puisse fonctionner normalement !



ton proxy est toujours là :

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 178.33.163.91:3128







* /!\ Avertissement /!\,
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !

* Lance ZHPFix via le raccourci sur ton Bureau

/!\Utilisateur de Vista, Seven et W8 :

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »

* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\GlaryInitialize.job [328]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKCU\Software\McAfee]
[MD5.00000000000000000000000000000000] [APT] [{0BBE0C70-37C8-46A1-AB3E-59E82A4531B7}] (...) -- E:\Setup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{56770858-9C33-41F8-A381-6FC21B1E098C}] (...) -- E:\Setup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{7EE5C3B6-7DEE-45A5-B45B-0916321C9451}] (...) -- E:\Setup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{94384E1E-8710-41E8-9819-E08A6333E12F}] (...) -- E:\Setup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{B7E5B37E-5FEB-4719-A401-DAF974DAAD85}] (...) -- E:\Setup.exe (.not file.) [0]
O51 - MPSK:{00ebad0c-6b7f-11e2-8849-005056c00003}\AutoRun\command. (...) -- F:\setup.exe (.not file.) O51 - MPSK:{1ca88bcb-fba8-11e0-9694-005056c00008}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
O51 - MPSK:{1cb4d64f-f496-11e0-9320-806e6f6e6963}\AutoRun\command. (...) -- F:\AutoRun.exe (.not file.)
O51 - MPSK:{1cb4d68f-f496-11e0-9320-247703044838}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
O51 - MPSK:{45adf4bf-03ce-11e1-97d1-d067e537104a}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
O51 - MPSK:{a95adcee-0c70-11e1-a0cb-d067e537104a}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [YourFile Update] (...) -- C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe (.not file.) [0]
O87 - FAEL: "{F99300EF-4126-4532-B53A-E31763225865}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\YourFileDownloader\YourFile.exe (.not file.)
O87 - FAEL: "{EDD2DA99-CE23-473E-BE0D-94D3CD8EE986}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\YourFileDownloader\YourFile.exe (.not file.)
O87 - FAEL: "TCP Query User{2362DF77-15B2-4FCA-8679-A4E5CBD25F5B}D:\users\fcardot\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- D:\users\fcardot\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)
O87 - FAEL: "UDP Query User{4EE6EBE3-C2EE-4DF1-A5F2-0744A8942CCA}D:\users\fcardot\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- D:\users\fcardot\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)
O87 - FAEL: "TCP Query User{A6D0B426-2719-4BD1-8693-3845AFF59DE1}D:\users\fcardot\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P6 - TRUE | .(...) -- D:\users\fcardot\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)
O87 - FAEL: "UDP Query User{070D0A5E-5397-42DF-85E7-F911A7DE454D}D:\users\fcardot\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P17 - TRUE | .(...) -- D:\users\fcardot\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFile_RASAPI32]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFileUpdater_RASAPI32]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFileUpdater_RASMANCS] Emptytemp
EmptyClsid
Firewallraz


----------------------------------------------------------


- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse


0
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 703
27 mars 2013 à 09:13
Salut,

Voici le log:
rapport

Pour le proxy, c'est normal, j'ai eu l'idée après avoir refait le rapport ZHP

varfendell
0
Utilisateur anonyme
27 mars 2013 à 15:01
bonjour,

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://fr.malwarebytes.com/mwb-download/
ou :

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

0
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 703
28 mars 2013 à 18:10
Salut,

Examen passé sans soucis, aucune infection détecté.

Je met le post en résolu; merci beaucoup de ton aide


0
Utilisateur anonyme
28 mars 2013 à 18:31
pas si vite !

* pour désinstaller les outils de désinfection
:

Télecharge Delfix sur ton bureau :

ICI

ou



Coche les cases suivantes :
=> Réactive l'Uac (juste pour Vista, Seven et W8)
=> Supprimer les outils de désinfection (coché par défaut)
=> Purger la restauration système
=> Réinitialisation des paramètres système


* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport
** le rapport est stocké à cet emplacement : C:\DelFix.txt
Attention : Le rapport est unique et est supprimé à chaque fois que l'on ré-exécute une ou plusieurs options de DelFix.


* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)
0