Infection redirection sites spécifiques Fermé

Question

Bonjour !

J'ai un problème qui me tient la jambe depuis neuf heures ce matin, et qui finit par dépasser mes compétences.
Il semble que mon pc soit infecté (enfin, semble. C'est certain, en fait). Si je vais sur certains sites (3DVF par exemple), Avast m'annonce qu'il vient de bloquer trois redirections (alors que tout allait bien hier soir, :sic: : URL Mal / FileRepMetagen et un avec trojan dedans, je n'ai plus la nomenclature exacte).
A savoir que ça n'arrive que sur certains sites cette redirection.

Je suis sur Win7, j'utilise Firefox, avec adblock ; j'ai avast et Malware Bytes ; j'ai fait du ccleaner, de l'adw cleaner, de l'usb fix, j'ai même lancé par acquis de conscience spybot (c'est dire. Le désespoir.)

Il va sans dire que Avast et Malware sont aux fraises, pour eux tout va bien ; les autres m'ont supprimé deux trois trucs, mais le problème est toujours là.

Voici le rapport de Adw Cleaner :

# AdwCleaner v4.111 - Rapport créé le 07/03/2015 à 11:25:10
# Mis à jour le 18/02/2015 par Xplode
# Base de données : 2015-03-05.1 [Serveur]
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (x64)
# Nom d'utilisateur : Marmowa - MARMOWA-PC
# Exécuté depuis : C:\Users\Marmowa\Downloads\adwcleaner_4.111.exe
# Option : Nettoyer

 [ Services ] *****
 [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Users\Marmowa\AppData\Local\DriverTuner
Fichier Supprimé : C:\Users\Marmowa\AppData\Roamingegsvr32.exe_log.txt

 [ Tâches planifiées ] *****

Tâche Supprimée : Optimizer Pro Schedule

 [ Raccourcis ] *****
 [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Clé Supprimée : HKCU\Software\DriverTuner_Init
Clé Supprimée : HKCU\Software\DriverTuner
Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}

 [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17631


-\ Mozilla Firefox v36.0.1 (x86 fr)


-\ Google Chrome v40.0.2214.115



AdwCleaner[R0].txt - [2018 octets] - [07/03/2015 11:23:17]
AdwCleaner[S0].txt - [1864 octets] - [07/03/2015 11:25:10]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1924  octets] ##########


___________________________________________________

Bref, j'aimerais bien un coup de main, parce que je patauge. ^^'

Ci-joint un ZHPDiag, comme je ne sais pas les décortiquer, vous y trouverez sûrement des informations que je n'ai pas vu.

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20150307_j15y11m11r8c12

Je suis également disposée à reprendre toute la manip de zéro s'il le faut, tant qu'on me vire cette saleté. Mon PC étant mon outil de travail, il est hors de question que ça reste (surtout que je n'ai aucune idée d'où vient l'infection. Peut-être du réseau de mon école - vous me direz, je n'avais qu'à vacciner mes DD et USB)

Merci de votre lecture, merci par avance pour vos lanternes !

Malekal_morte- · Answer

Salut,

Pas grand chose, désinstalle Spybot.

Marmowa · Answer

C'est déjà fait pour Spybot. Il doit rester quelques traces dans le PC, mais ça n'a rien résolu. : /

Egalement, il arrive qu'au lieu d'arriver sur le site et d'avoir les alertes d'avast, je ne puisse tout simplement pas accéder au site, comme si je n'avais plus de connexion internet.

Voici un screen des alertes d'avast :

Malekal_morte- · Answer

réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

 Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
 Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=
 Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=

Marmowa · Answer

J'ai commencé la ré-initialisation de mes naviguateurs, mais le rapport de ZHPCleaner me semble intéressant...


 ~ ZHPCleaner v2015.3.6.109 by Nicolas Coolman (06/03/2015)
~ Run by Marmowa (Administrator)  (07/03/2015 12:43:23)
~ Forum : https://nicolascoolman.eu
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Scanner
~ Report : C:\Users\Marmowa\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\Marmowa\AppData\Roaming\ZHP\ZHPCleaner_Quarantine.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
~ Windows 7, 64-bit Service Pack 1 (Build 7601)


---\  Service. (0)
~ Aucun élément malicieux trouvé.


---\  Navigateur internet. (0)
~ Aucun élément malicieux trouvé.


---\  Fichier hôte. (3)
TROUVÉ: dobe	Blocker
TROUVÉ: 8.
~ Nombre de redirections trouvées 2/15597


---\  Tâche planifiée. (2)
TROUVÉ tâche: [AutoKMS] [C:\Windows\AutoKMS\AutoKMS.exe] (Trojan.AutoKMS)
TROUVÉ tâche: [AutoKMS] [C:\Windows\AutoKMS\AutoKMS.exe] (Trojan.AutoKMS)


---\  Explorateur  ( Dossiers, Fichiers ). (6)
TROUVÉ fichier: C:\Windows\AutoKMS\AutoKMS.exe [CODYQX4 - AutoKMS](Trojan.AutoKMS)
TROUVÉ fichier: C:\Windows\AutoKMS\AutoKMS.exe [CODYQX4 - AutoKMS](Trojan.AutoKMS)
TROUVÉ fichier: C:\ProgramData\Microsoft Toolkit\Settings.xml [ - ](Trojan.AutoKMS)
TROUVÉ dossier: C:\ProgramData\Microsoft Toolkit (Trojan.AutoKMS)
TROUVÉ fichier: C:\Windows\AutoKMS\AutoKMS.exe [CODYQX4 - AutoKMS](Trojan.AutoKMS)
TROUVÉ fichier: C:\Windows\AutoKMS\AutoKMS.log [ - ](Trojan.AutoKMS)


---\  Base de Registres ( Clés, Valeurs, Données ). (0)
~ Aucun élément malicieux trouvé.



---\ Bilan de la réparation
~ Aucune réparation effectuée.
~ Ce navigateur est absent  (Opera Software)


---\ Statistiques
~ Items scannés : 108236
~ Items trouvés : 11
~ Items réparés : 0


End of clean at 12:47:14
===================
ZHPCleaner-[S]-07032015-12_47_14.txt


La ré-initialisation des navigateurs suffira ?...

En tous cas, merci pour l'aide : D

Marmowa · Answer

Bon, j'ai désinstallé/ré-installé Mozi/Chrome, remis à zéro IE, le problème est toujours là.

Quant aux rapports de ZHP Cleaner, il semblerait que ce ne soit "que" les installations plus ou moins frauduleuses de certains logiciels appartenant à une firme du nom de "Fenêtre", et tout aussi répréhensible que ce soit, ce n'est sûrement pas la cause de tout ceci ; en effet, y a un paquet de temps que c'est installé. ^^'

Malekal_morte- · Answer

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
 
puis :

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport et donne le ici.

Marmowa · Answer

https://pjjoint.malekal.com/files.php?id=20150307_k7g5v7o11n14

C:\Users\Marmowa\Downloads\_Alcohol52_FE_2.0.2.5830.exe	Win32/SmartFileAdvisor.B potentially unwanted application	deleted - quarantined
G:\daemon-tools-lite_4-49-1_fr_10729.exe	Win32/DownWare.L potentially unwanted application	deleted - quarantined


(Le rapport est aussi petit, c'est normal ?)

Sinon, avec un ami, on a remarqué que avast ne s'énervait que sur les sites utilisant un bloqueur de bloqueur de pub (adunblock), est-ce que ça serait une piste ? Qu'en fait, mon pc n'est pas infecté ? ^^'
(piste qui est peut-être annulée par les rapports ci-joint !)

Infection redirection sites spécifiques

7 réponses

Discussions similaires