Problème malware/redirection de liens google

[ov8]

Bonjour

Voilà j'ai un petit soucis avec un spyware vicieux, qui redirige tous les liens google vers des sites de logiciels anti-spyware etc, il m'empêche également d'ouvrir certains sites (hotmail etc) et ralentit nettement mon pc .

J'aurai donc besoin d'un peu d'aide ne sachant plus quoi faire .

Merci

[WawaSeb]

Bonjour ov8,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

 

Groupe : Membres

Messages : 1

--> Je vois que tu es nouveau ici, prends donc bien ton temps pour observer le fonctionnement de ce site :

 

• Comment participer à un forum
  
• Mettre en forme un message
  

 

 

1) Télécharge SmitFraudFix de S!Ri.

• Dézippe la totalité de l'archive sur ton bureau.
  
• Double-clique sur smitfraudfix.cmd .
  
• Sélectionne "1" dans le menu pour créer un rapport des fichiers responsables de l'infection (si cela ne fonctionne pas, renomme smitfraudfix.cmd en ov8smit.cmd).
  
• Sauvegarde ce rapport et poste-le.
  

 

 

2) Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.

• 

Double-clique sur RSIT.exe pour le lancer.
Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).

Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de log.txt (c'est celui qui apparait à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

 

Note importante : Si tu es sous Windows Vista, chaque double-clic doit être remplacé par un clic-droit, puis "Exécuter en tant qu'Administrateur" !

 

Bon travail !

[ov8]

Merci de prendre le temps de m'aider

Bon déjà j'en ai chié grave pour télécharger les machins, aucun moyen de trouver la page que ça soit avec IE ou firefox, j'ai du demander à une personne de les télécharger et me les envoyer bref .

Pour smitfraud :

 

SmitFraudFix v2.346

 

Rapport fait à 11:03:24,32, 07/09/2008

Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Apps\Softex\OmniPass\OPXPApp.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\Internet Explorer\Iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\msvs.exe

C:\Program Files\Mozilla Firefox\SmitfraudFix\Policies.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\tdssservers.dat détecté, utilisez un scanner de Rootkit

C:\WINDOWS\system32\tdssadw.dll détecté, utilisez un scanner de Rootkit

C:\WINDOWS\system32\tdssinit.dll détecté, utilisez un scanner de Rootkit

C:\WINDOWS\system32\tdssl.dll détecté, utilisez un scanner de Rootkit

C:\WINDOWS\system32\tdsslog.dll détecté, utilisez un scanner de Rootkit

C:\WINDOWS\system32\tdssmain.dll détecté, utilisez un scanner de Rootkit

C:\WINDOWS\system32\drivers\tdssserv.sys détecté, utilisez un scanner de Rootkit

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Thery

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Thery\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\Thery\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: WAN (PPP/SLIP) Interface

DNS Server Search Order: 213.36.80.1

DNS Server Search Order: 213.36.80.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E4A4109D-4E79-42B4-B087-8802D60EF9A6}: NameServer=213.36.80.1 213.36.80.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{E4A4109D-4E79-42B4-B087-8802D60EF9A6}: NameServer=213.36.80.1 213.36.80.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

pour l'autre :

 

Logfile of random's system information tool (written by random/rand

Modifié le 7 septembre 2008 par ov8

[ov8]

.

Modifié le 7 septembre 2008 par ov8

[ov8]

Ouaou désolé pour le bug

[WawaSeb]

Bonjour ov8 !

 

*** C'est L'infection du moment, ma préférée ! ***

 

Imprime cette procédure, tu n'auras pas forcément accès à Internet en mode sans échec...

 

 

1) Télécharge SDFix de AndyManchesta et enregistre-le sur ton Bureau.

 

Double-clique sur SDFix.exe et sélectionne Install pour le décompresser à la racine de ton disque dur.

 

2) Démarre en mode sans échec sur ta session comme indiqué ici (utilise ABSOLUMENT la première solution !)

• Ouvre le dossier SDFix qui est apparu à la racine de ton disque dur et double-clique sur RunThis.bat pour lancer le script
  
• Appuie sur Y pour démarrer le nettoyage (SDFix va désactiver le rootkit, et te demander de redémarrer : accepte et recommence le point #2)
  
• SDFix va supprimer les parties de certains malware's trouvés et te demandera d'appuyer sur une touche pour redémarrer
  
• Appuie donc sur une touche pour redémarrer la machine
  
• Ton système sera plus long que d'habitude pour redémarrer car le fix va continuer à travailler pendant le redémarrage
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
  
• Appuie sur une touche pour terminer le nettoyage et charger les icônes de ton Bureau
  
• Une fois que les icônes du Bureau seront affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera dans le dossier SDFix sous le nom Report.txt
  
• Copie-colle alors le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
  

 

Notes supplémentaires :

• Si tu ne parviens pas à démarrer en mode sans échec pour l'utilisation de SDFix (attention, le mode sans échec est plus lent à se lancer !), tu devras redémarrer en mode normal et double-cliquer sur "C:\SDFix\DBFix.bat", appuyer sur "Y", attendre le rapport, puis redémarrer en mode sans échec...
  
• Si ton disque dur (C:\) est invisible du Poste de Travail, tu peux le retrouver en ouvrant n'importe quel dossier et en tapant "C:\" dans la barre d'adresses (au-dessus)
  
• Tu devras peut-être récupérer le programme d'une manière différente et renommer RunThis.bat avant de le lancer, mais tu retrouveras le contrôle de ton PC après ceci...
  

 

Tu es bientôt tiré d'affaire... courage !!!

[ov8]

J'ai fait ça, ça n'a pas eu l'air de bien fonctionner .

Quand mon pc à redémarré après le mode sans échec il n'y a pas eu de rapport , et il n'y en a pas non plus dans le dossier sdfix ..

Il y a toujours les mêmes problèmes apparemment .

[WawaSeb]

Bonjour ov8,

 

*** Tu vas voir, relis calmement, on va y arriver ! ***

 

 

J'ai fait ça, ça n'a pas eu l'air de bien fonctionner .

--> Je suis presque certain que tu n'as pas exactement suivi ma procédure (à moins que l'infection se soit mise à jour il y a moins d'une heure...)

 

# Suis scrupuleusement cette procédure jusqu'au bout, quoiqu'il arrive ; si quelque chose te semble trop difficile, n'hésite pas à poser des questions, nous sommes là pour t'aider !

# Si une étape s'est avérée impossible à passer, continue quand même et signale-le dans ta prochaine réponse...

 

Tu dois redémarrer trois fois la machine :

• Une fois en mode sans échec, lance RunThis.bat qui va demander de redémarrer le PC
  
• Au redémarrage, tu dois rechoisir le mode sans échec et relancer RunThis.bat pour continuer le nettoyage et...
  
• Au re-redémarrage, tu le laisses travailler tout seul... (s'il n'ouvre pas le rapport après 15 minutes, tu peux aller le chercher là --> C:\report.txt)
  

 

 

Bon travail !

[ov8]

Désolé , ça ne fonctionne pas . Je fais les deux démarrages en mode sans echec (ça fait d'ailleurs deux fois la même chose en prenant trois plombes) et lorsque je redémarre, je vois une fenêtre sdfix l'espace d'une microseconde je n'ai pas le temps de la lire, puis mon ordi s'allume normalement, aucun rapport n'apparait .Dans le dossier, le rapport indique juste :

 

SDFix: Version 1.169

Run by µµµ on 07/09/2008 at 13:08

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

[WawaSeb]

Bonjour ov8,

 

*** Vraiment navré, d'après tes explications, il semble effectivement y avoir un problème ! ***

 

--> Avais-tu essayé de renommer RunThis.bat avant de le lancer ?

 

 

µµµ

--> S'agit-il de ton nom d'utilisateur ???

 

 

# Télécharge Combofix de sUBs

 

• Enregistre-le impérativement sur ton bureau.
  
• Prends connaissance du tutoriel suivant : http://www.bleepingcomputer.com/combofix/f...iliser-combofix
  
• Déconnecte-toi du net et désactive ton antivirus pendant la procédure.
  
• Ferme toutes les fenêtres.
  
• Double-clique sur combofix.exe
  
• Clique sur "Oui" pour accepter la limitation de garantie !
  --> Si ton pare-feu te demande d'autoriser nircmd.cfexe, accepte.
  
• Lance le scan (ne clique pas sur la fenêtre qui s'ouvre).
  
• A la fin du scan (cela peut prendre du temps), un rapport sera créé.
  
• Poste ce rapport dans ton / tes prochain(s) message(s) (C:\Combofix.txt)
  

Avertissement important : Cet outil n'est pas un antimalware's généraliste ! Il ne peut être utilisé que par des personnes qualifiées...

 

 

Cela devrait nous permettre d'y voir plus clair...