marven

Bonjour, Merci de ta réponse Dylav. En fait j'ai trouvé la solution vendredi en suivant cette démarche lien CCM J'ai réussi en scannant mon poste avec TDSKiller J'avais un rootkit dans la MBR @+

un p'tit up pour les couches tard Merci d'avance

J'ai du nouveau ! J'ai vu sur un autre forum qu'un utilisateur avait réussi à se débarrasser de ces redirections avec Roguekiller. Je l'ai installé et visiblement cela fonctionne ! J'ai du mal à croire qu'un rogue s'était installé et je ne vois pas le rapport avec les URL sur lesquelles j'étais renvoyé. Toujours est-il que je ne suis plus redirigé. Par contre le programme m'indique que ma MBR est infectée j'ai donc fait toutes les étapes du programme. Et en le relançant j'ai toujours ce même message en rouge dans la fenêtre de résultat INFECTION MBR DETECTEE ! Voir ici => Copie message le log est ici : RogueKiller V6.2.2 [31/12/2011] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/42) Blog: tigzy-RK Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: YT [Droits d'admin] Mode: Recherche -- Date : 09/01/2012 10:46:07 ¤¤¤ Processus malicieux: 1 ¤¤¤ [bLACKLIST] d3d10_1.dll -- C:\Windows\system32\d3d10_1.dll -> UNLOADED ¤¤¤ Entrees de registre: 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : Root.MBR ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] c31c189e363f387854fcfa3967eb2972 [bSP] b0f256072005c314742108053c81553b : Windows 7 MBR Code Partition table: 0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo 1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 112640 | Size: 10737 Mo 2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 21084160 | Size: 104860 Mo 3 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 225890089 | Size: 204416 Mo User = LL1 ... OK! User != LL2 ... KO! --- LL2 --- [MBR] 07e52481368ae5cdc84a4583d9d6d359 [bSP] e53b7c316d41ad539ebc4ddf06c225ee : MaxSS MBR Code! Partition table: 0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo 1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 112640 | Size: 10737 Mo 2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 21084160 | Size: 104860 Mo 3 - [XXXXXX] UNKNW [VISIBLE] Offset (sectors): 225890089 | Size: 204416 Mo Termine : << RKreport[3].txt >> RKreport[2].txt ; RKreport[3].txt

J'ai oublié de préciser : les dernière MAJ windows ne veulent pas s'installer. Au démarrage du PC j'ai un message me disant : Echec de l'installation des MAJ - Annulation des modifications - redémarrage du système. Donc là-dessus le PC redémarre normalement et me propose d'installer les maj windows dispo, mais qui vont échouer de nouveaux si je les lance. Je précise également que les analyses et anti-virus ont été passés en mode sans échec avec prise en charge réseaux. et je suis administrateur du poste.

Bonjour, J’espère être dans la bonne section pour poster mon soucis. Depuis un moment mes navigateurs webs ne m'obéissent plus. Lorsque j'effectue une recherche sur google via chrome, IE ou Firefox (les dernières versions), les résultats de la recherche s'affichent normallement, par contre lorsque je clic sur un résultat, je suis systématiquement redirigé vers d'autres sites (je ne peux vous donner d'exemples) ça change à chaque fois. Ceci est mon PC de bureau tournant sur 7Pro - C'est un vostro 400 - x86 - lié à un domaine 2003 Serveur. On utilise le système antivirus Trend C'est mon 2ème serveur qui fait office de Serveur DNS - donc les postes clients sont config en ip auto (une vingtaine) Je précise que nous sommes 2 à avoir ce même soucis sur ce domaine. J'ai déjà fais pas mal de manip en tant qu'admin du réseau (scan avec tous les ad-adaware, spybot et autre malwarebytes) Je viens de faire un scan avec WORT dont le rapport est + bas + HijackThis dont vous trouverez le rapport + bas Je vous remercie par avance de votre aide. ===== Rapport WareOut Removal Tool ===== version 3.6.2 analyse effectuée le 09/01/2012 à 8:49:59,63 Résultats de l'analyse : ======================== ~~~~ Recherche d'infections dans C:\ ~~~~ ~~~~ Recherche d'infections dans C:\Program Files\ ~~~~ ~~~~ Recherche d'infections dans C:\Windows\system\ ~~~~ ~~~~ Recherche d'infections dans C:\Windows\system32\ ~~~~ ~~~~ Recherche d'infections dans C:\Windows\system32\drivers\ ~~~~ ~~~~ Recherche d'infections dans C:\Users\YT\AppData\Roaming\ ~~~~ ~~~~ Recherche d'infections dans C:\Users\YT\Bureau\ ~~~~ ~~~~ Recherche de détournement de DNS ~~~~ ~~~~ Recherche de Rootkits ~~~~ _______________________________________________________________________ catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2012-01-09 08:52:25 Windows 6.1.7601 Service Pack 1 NTFS detected NTDLL code modification: ZwEnumerateKey 0 != 116, ZwQueryKey 0 != 244, ZwOpenKey 0 != 182, ZwClose 0 != 50, ZwEnumerateValueKey 0 != 119, ZwQueryValueKey 0 != 266, ZwOpenFile 0 != 179, ZwQueryDirectoryFile 0 != 223, ZwQuerySystemInformation 0 != 261Initialization error _______________________________________________________________________ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon System REG_SZ ~~~~ Recherche d'infections dans C:\Users\YT\AppData\Local\Temp\ ~~~~ ~~~~ Recherche d'infections dans C:\Users\YT\Start Menu\Programs\ ~~~~ ~~~~ Nettoyage du registre ~~~~ ~~~~ Tentative de réparation des entrées suivantes: ~~~~ [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System" [HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service] [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service] ~~~~ Vérification: ~~~~ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon System REG_SZ _________________________________ développé par Pc-System.fr || Optimisez votre système ! _________________________________ -------------------------------------------------------------------------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:32:32, on 09/01/2012 Platform: Unknown Windows (WinNT 6.01.3505 SP1) MSIE: Internet Explorer v9.00 (9.00.8112.16421) Boot mode: Safe mode with network support Running processes: C:\Windows\Explorer.EXE C:\Windows\system32\ctfmon.exe C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Mozilla Firefox\plugin-container.exe C:\Windows\explorer.exe C:\Windows\explorer.exe C:\Users\YT\Desktop\HiJackThis.exe C:\Program Files\Mozilla Firefox\plugin-container.exe C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE C:\Windows\system32\NOTEPAD.EXE C:\Windows\system32\DllHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.1.5/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.5/index.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Hotmail, Messenger, Actualité, Sport, People, Femmes - MSN France R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Hotmail, Messenger, Actualité, Sport, People, Femmes - MSN France R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:55838 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file) O2 - BHO: Trend Micro NSC BHO - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Program Files\Trend Micro\Client Server Security Agent\bho\1003\TmIEPlg.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - (no file) O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe" O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\RunOnce: [innoSetupRegFile.0000000001] "C:\Windows\is-LTVBG.exe" /REG /REGSVRMODE O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (cleanup)] rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKCU\..\Run: [ASuite.exe] C:\Program Files\Aastra\Office Suite\Suite.exe O4 - HKCU\..\Run: [1&1 EasyLogin] C:\Program Files\1&1\1&1 EasyLogin\EasyLogin.exe O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Google Update] "C:\Users\YT\AppData\Local\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [DotSpirit Backup] "C:\Program Files\DotSpirit Backup\DotSpirit_Backup.exe" O4 - Startup: EvernoteClipper.lnk = C:\Program Files\Evernote\Evernote\EvernoteClipper.exe O4 - Global Startup: Google Calendar Sync.lnk = C:\Program Files\Google\Google Calendar Sync\GoogleCalendarSync.exe O8 - Extra context menu item: Add to Evernote 4.0 - res://C:\Program Files\Evernote\Evernote\EvernoteIE.dll/204 O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: @C:\Program Files\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://C:\Program Files\Evernote\Evernote\EvernoteIE.dll/204 (file missing) O9 - Extra 'Tools' menuitem: @C:\Program Files\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://C:\Program Files\Evernote\Evernote\EvernoteIE.dll/204 (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics O15 - Trusted Zone: ConsonanceWeb O15 - Trusted Zone: Groupe ATI O15 - Trusted Zone: Orange : téléphones, forfaits, Internet, actualité, sport, video O15 - Trusted Zone: http://solutionfile.trendmicro.com O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} (Détection de dispositifs) - http://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} (Module de délivrance de certificat MINEFI) - https://static.impots.gouv.fr/abos/static/securite/certdgi1.cab O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC2A} (Encrypt Class) - https://192.168.0.10:4343/SMB/console/html/root/AtxEnc.cab O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC44} (Encrypt Class) - https://192.168.0.10:4343/SMB/console/html/root/AtxEnc.cab O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBED3C} (Console d'administration de Security Server) - https://192.168.0.10:4343/SMB/console/html/root/AtxConsole.cab O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBEDCC} (Console d'administration de Security Server) - https://192.168.0.10:4343/SMB/console/html/root/AtxConsole.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = XXXXSAS.local O17 - HKLM\Software\..\Telephony: DomainName = XXXXSAS.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = XXXXSAS.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = XXXXSAS.local O18 - Protocol: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Program Files\Trend Micro\Client Server Security Agent\bho\1003\TmIEPlg.dll O20 - AppInit_DLLs: C:\PROGRA~1\GOOGLE\GOOGLE~1\GOOGLEDESKTOPNETWORK3.DLL C:\PROGRA~1\GOOGLE\GOOGLE~1\GO36F4~1.DLL O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe O23 - Service: DokanMounter - Unknown owner - C:\Program Files\Dokan\DokanLibrary\mounter.exe O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe O23 - Service: OIP Update Service (OipUpdateService) - Aastra Telecom Schweiz AG - C:\Program Files\Aastra\UpdateSvc\OipUpdateService.exe O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\TmPfw.exe O23 - Service: Service proxy Trend Micro Client/Server Security Agent (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\TmProxy.exe -- End of file - 10277 bytes