[Résolu] Problème de redirection sur bediddle

[morlacus]

Bonjour à tous

 

Je suis confronté depuis hier à un problème sérieux sur mon ordinateur. La manifestation est la redirection de mes recherches google sur beddidle.

 

j'ai un antivirus norton qui n'a rien vu et le pare feu windows

 

Une remarque. j'ai été infesté il y a qq jours par Smitfraud et je pense m'en être sorti par smitfraudfix. du moins je n'ai plus de manifestations.

pour m'en débarasser j'ai aussi utilisé ccleaner et superantispyware free.

 

Donc mon problème. Je suis redirigé sur Bediddle.

 

Superantispyware est bloqué. je l'ai désinstallé.

j'ai essayé de lancer Spybot (que j'ai et qui fonctionnait très bien. il ne se lance plus.

j'ai téléchargé Sdfix. il ne s'installe pas. (pas de fenètre d'instal)

Quand j'esssaie de démarrer en mode sans échec, j'ai un message esc pour ne pas charger un fichier. Si je fais esc je reboote, si je laisse le mode sans echec démarre mais je n'ai q'un écran noir et la flèche de la souris.

 

Voilà où j'en suis.

 

Si quelqu'un peut m'apporter de l'aide je l'en remercie d'avance.

[morlacus]

rebonjour

 

Mon cas s'aggrave.

 

Je suis allé voir les posts parlant de mon problème.

 

Comme je pensais que j'aurais à utiliser hijackthis, j'ai essayé de le télécharger. je n'ai pas pu ouvrir la page que j'ai trouvée dans le post de fredo0877. finalement je l'ai téléchargé d'un autre ordi non infecté.

 

Mais après l'avoir posé sur le bureau, il ne s'ouvre pas.

 

Merci pour votre aide.

[morlacus]

Hello

 

Apparemment je m'en serais sorti. Après avoir lu qu'il fallait renommer Hijackthis, je l'ai fait et il s'est effectivement installé. C'est bon à savoir quand ça ne veut pas démarrer. J'ai donc un rapport d'avant la réparation.

Puis j'ai renommé également sdfix et il s'est installé.

 

je l'ai fait fonctionner en mode sans échec (qui a fonctionné) et ça a l'air d'avoir fonctionné. Plus de redirection sur beddidle.

j'avais aussi remarqué que iexplore qui était toujours présent dans les processus et qui me bouffait 90 % du processeur n'apparait plus et que je n'utilise plus que 2 à 4 % de mon processeur.

Si vous avez des conseils pour éviter que ça se reproduise, ou pour compléter la manoeuvre, merci d'avance

 

Morlacus

 

PS et bien sûr, maintenant, spybot redémarre.

 

Par contre, j'avais aussi essayé , d'après les différents posts d'utiliser msnfix, mais je n'ai pas réussi. il signalait une infection mais s'arrêtait toujours sur nettoyage 1/3 parce qu'il ne trouvait pas le fichier incl/msnrk.txt.

[morlacus]

je m'étais réjoui trop vite et après quelques essais, le problème est revenu.

toujours des redirections.

Quand tout avait remarché j'avais essayé de faire un defrag du disque et ça n'avait pas fonctionné. j'ai fait un chkdsk du c et il m'a trouvé des erreurs, et donc un chkdsk /f à faire. il ne l'a pas fait au redémarrage, et puis les redirections depuis google ont recommecé.

 

Si quelqu'un a des idées, il sera le bien venu.

 

merci

 

Morlacus

[Mark]

Je te souhaite la bienvenue sur Zébulon

 

Je ne passe qu'en coup de vent mais je vais te demander de copier/coller un tout nouveau rapport HijackThis s'il te plaît ; ça nous donnera un point de départ.

 

Copie/colle également le rapport de l'outil SDFix, qui se trouve habituellement là, dans le dossier SDFix >> C:\SDFix\Report.txt

 

@+

[morlacus]

Merci de vous interesser à mon cas.

Comme je n'arrivais pas à faire de chkdsk/f au reboot, j'ai fait un chkdsk/p/r sur la console de récupération. pas grand chose à en dire.

mais le chkdsk suivant sous windows me dit que "windows a détecté des problèmes sur le système de fichiers."

 

voilà donc le dernier rapport hijackthis fait à l'instant

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:31:45, on 28/11/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\NavNT\DefWatch.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\BUFFALO\NASNAVI\nassvc.exe

C:\WINDOWS\System32\NMSSvc.exe

C:\Program Files\NavNT\Rtvscan.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\NavNT\vptray.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\EPSON\Creativity Suite\Event

 

Manager\EEventManager.exe

C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Nikon\NkView6\NkvMon.exe

C:\Program Files\BUFFALO\NASNAVI\NasNavi.exe

C:\Program Files\BUFFALO\NASNAVI\nassche.exe

C:\WINDOWS\system32\MsgSys.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\hj2\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

 

about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

 

Liens

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32

 

\userinit.exe,C:\WINDOWS\system32\uesiuqcr.exe,

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-

 

784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0

 

\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-

 

D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no

 

file)

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no

 

file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-

 

CE66B5AD205D} - C:\Program

 

Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-

 

9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-

 

EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-

 

64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no

 

file)

O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32

 

\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32

 

\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3

 

\MsgPlus.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

 

C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

 

C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity

 

Suite\Event Manager\EEventManager.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program

 

Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software

 

Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6

 

\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program

 

Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program

 

Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON

 

Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3

 

\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"

 

/background

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0

 

\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN

 

Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32

 

\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32

 

\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32

 

\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32

 

\CTFMON.EXE (User 'Default user')

O4 - Startup: BUFFALO NAS Navigator.lnk = C:\Program

 

Files\BUFFALO\NASNAVI\NasNavi.exe

O4 - Startup: NAS Scheduler.lnk = C:\Program

 

Files\BUFFALO\NASNAVI\nassche.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program

 

Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

 

Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6

 

\NkvMon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel -

 

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-

 

AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-

 

092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

 

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-

 

82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-

 

00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2

 

-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .UVR: C:\Program Files\Internet

 

Explorer\Plugins\NPUPano.dll

O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control)

 

- http://download.gigabyte.com.tw/object/Dldrv.ocx

O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN

 

Class) -

 

http://h20270.www2.hp.com/ediags/gmn/insta...staller_gmn.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro

 

ActiveX Scan Agent 6.6) -

 

http://housecall65.trendmicro.com/housecal...ve/x86/win32/ac

 

tivex/hcImpl.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live

 

Safety Center Base Module) -

 

http://cdn.scan.onecare.live.com/resource/...er/wlscbase6662.

 

cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl

 

Class) -

 

http://update.microsoft.com/windowsupdate/.../x86/client/wuw

 

eb_site.cab?1161415902703

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System

 

Requirements Lab) -

 

http://www.nvidia.com/content/DriverDownlo.../sysreqlab2.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

 

(MsnMessengerSetupDownloadControl Class) -

 

http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave

 

Flash Object) -

 

http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Program

 

Files\SUPERAntiSpyware\SASWINLO.dll (file missing)

O23 - Service: DefWatch - Symantec Corporation - C:\Program

 

Files\NavNT\DefWatch.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

 

Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11

 

\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program

 

Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun

 

Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NAS PM Service (NasPmService) - BUFFALO INC. -

 

C:\Program Files\BUFFALO\NASNAVI\nassvc.exe

O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation -

 

C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec

 

Corporation - C:\Program Files\NavNT\Rtvscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

 

C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation -

 

c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner -

 

c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe

 

--

End of file - 8838 bytes

 

 

et voilà le dernier rapport sdfix qui n'a rien donné.

 

 

SDFix: Version 1.240

Run by Jean Luc on 28/11/2008 at 17:32

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\WINDOWS\system32\TDSSlxwp.dll - Deleted

C:\WINDOWS\system32\TDSSorvd.dat - Deleted

C:\WINDOWS\system32\TDSSkkdu.log - Deleted

 

 

Could Not Remove C:\WINDOWS\system32\TDSSoiqn.dll

Could Not Remove C:\WINDOWS\system32\TDSShrsr.dll

Could Not Remove C:\WINDOWS\system32\TDSSriqp.dll

Could Not Remove C:\WINDOWS\system32\TDSSxfum.dll

 

 

 

Removing Temp Files

 

ADS Check :

[Mark]

Merci pour ces rapports

 

C'est ce que je pensais ; infection plutôt vicieuse celle-là. Ne fait rien pour l'instant et je vais repasser d'ici peu pour la suite.

 

Fais-moi plaisir par contre et lance le Bloc-notes (nouveau fichier ou un fichier existant, peu importe), clique sur le menu "Format" puis décoche "Retour automatique à la ligne". Ferme le fichier sans l'enregistrer ; ça aidera pour la lisibilité dans le futur.

 

@ tout de suite

[morlacus]

je n'ai rien fait.

j'ai juste lancé spybot qui a daigné démarrer.

et qui m'a trouvé un win32.tdss.rtk

 

je n'ai pas lancé de correction parce que je préfère attendre votre avis pour savoir quel est le meilleur moyen de corriger.

 

Merci d'avance

[Mark]

Ok, voici la suite :

=============

 

Télécharge Combofix.exe de sUBs et sauvegarde le sur ton Bureau (et pas ailleurs).

• Assure-toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique sur Combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• On va te proposer de télécharger et installer la Console de Récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le Bureau disparaîtra, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un Bureau vide.
  
• Tu auras une alerte qu'une activité de rootkit a été détectée et que l'outil doit redémarrer l'ordi : accepte. Le nettoyage se poursuivra suite au redémarrage.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport est également sauvegardé là >> C:\Combofix.txt
  

 

@+

[morlacus]

voilà donc le rapport.

 

ComboFix 08-11-27.07 - Jean Luc 2008-11-28 19:29:11.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1657 [GMT 1:00]

.

 

ça a l'air succint mais c'est tout ce que j'ai

 

Et puis je suis sur Firefox parce que mon IE 7 refuse de démarrer.

Je suppose qu'il faudra une réparation mais je ne sais pas encore où chercher.

 

Dois je faire autre chose ?

 

Merci d'avance et pour tous vous conseils

 

Morlacus